https://blog.qife122.com/tags/cve-2025-12570/ Recent content in CVE-2025-12570 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 19:47:00 +0800 https://blog.qife122.com/p/wordpress-fancy-product-designer%E6%8F%92%E4%BB%B6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sat, 13 Dec 2025 19:47:00 +0800 https://blog.qife122.com/p/wordpress-fancy-product-designer%E6%8F%92%E4%BB%B6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2025-12570-cwe-79-web页面生成期间输入中和不当跨站脚本漏洞">CVE-2025-12570: CWE-79 Web页面生成期间输入中和不当（跨站脚本）漏洞</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2025-12570</strong></p> <p>WordPress的Fancy Product Designer插件在所有版本（包括6.4.8及之前版本）中，通过SVG文件上传存在存储型跨站脚本（XSS）漏洞。此漏洞源于<code>data-to-image.php</code>和<code>pdf-to-image.php</code>文件中输入净化和输出转义不足。这使得未经身份验证的攻击者能够在页面中注入任意Web脚本，这些脚本将在用户访问SVG文件时执行。</p>