https://blog.qife122.com/tags/cve-2025-13387/ Recent content in CVE-2025-13387 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 06:06:11 +0800 https://blog.qife122.com/p/kadence-woocommerce%E9%82%AE%E4%BB%B6%E8%AE%BE%E8%AE%A1%E6%8F%92%E4%BB%B6xss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Wed, 10 Dec 2025 06:06:11 +0800 https://blog.qife122.com/p/kadence-woocommerce%E9%82%AE%E4%BB%B6%E8%AE%BE%E8%AE%A1%E6%8F%92%E4%BB%B6xss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h3 id="概述"><strong>概述</strong></h3> <p>CVE-2025-13387是一个存在于Kadence WooCommerce邮件设计器WordPress插件中的安全漏洞。该插件在版本1.5.17及之前，由于对“客户名称”字段的输入清理和输出转义不足，存在存储型跨站脚本（Stored Cross-Site Scripting）漏洞。这使得未经身份验证的攻击者能够注入任意的Web脚本，当用户访问被注入的页面时，这些脚本便会执行。</p>