跨站脚本攻击 on 办公AI智能小助手

WordPress插件wpvibes Addon Elements存储型XSS漏洞深度解析

Tue, 30 Dec 2025 07:27:43 +0800

CVE-2025-12537: wpvibes Addon Elements for Elementor插件中的存储型XSS漏洞

严重性: 中等类型: 漏洞 CVE编号: CVE-2025-12537

描述 WordPress的Addon Elements for Elementor插件在所有1.14.3及更早版本中存在存储型跨站脚本攻击漏洞。这是由于对多个小部件参数的输入清理和输出转义不足造成的。这使得经过身份验证的攻击者（至少具有贡献者级别访问权限）可以通过多个小部件参数向页面注入任意Web脚本，每当用户访问被注入的页面时，这些脚本就会执行。

WordPress插件安全警报：CVE-2025-14119存储型XSS漏洞深度解析

Sun, 14 Dec 2025 05:37:37 +0800

CVE-2025-14119: WPBakery页面构建器插件中的CWE-79输入中和不当漏洞（跨站脚本攻击）

严重性：中 类型：漏洞 CVE编号：CVE-2025-14119

如何区分CSP报告是XSS攻击还是浏览器扩展？

Wed, 03 Dec 2025 12:16:47 +0800

如何区分CSP报告是XSS攻击还是浏览器扩展？

我最近为一个相当复杂的Web应用添加了CSP（内容安全策略）报头，起初使用的是-report-only模式。在报告中，我收到了一些来自浏览器扩展的干扰信息，但有两个事件特别引起了我的注意：有一次报告了以下内容：