https://blog.qife122.com/tags/cve-2025-8617/ Recent content in CVE-2025-8617 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 23:32:17 +0800 https://blog.qife122.com/p/wordpress-yith-woocommerce-%E5%BF%AB%E9%80%9F%E6%9F%A5%E7%9C%8B%E6%8F%92%E4%BB%B6%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Sat, 13 Dec 2025 23:32:17 +0800 https://blog.qife122.com/p/wordpress-yith-woocommerce-%E5%BF%AB%E9%80%9F%E6%9F%A5%E7%9C%8B%E6%8F%92%E4%BB%B6%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h1 id="cve-2025-8617yith-woocommerce-快速查看插件中的跨站脚本漏洞">CVE-2025-8617：YITH WooCommerce 快速查看插件中的跨站脚本漏洞</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-8617">CVE-2025-8617</h2> <p>由于对用户提供属性的输入清理和输出转义不足，WordPress 的 YITH WooCommerce Quick View 插件在所有版本（包括 2.7.0 及更早版本）中，通过插件的 <code>yith_quick_view</code> 短代码，容易受到存储型跨站脚本攻击。这使得拥有投稿者级别及以上访问权限的经过身份验证的攻击者能够在页面中注入任意 Web 脚本，每当用户访问被注入的页面时，这些脚本就会执行。</p>