https://blog.qife122.com/tags/cwe-79/ Recent content in CWE-79 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 02:17:02 +0800 https://blog.qife122.com/p/elastic-kibana-vega-ast-%E8%A7%A3%E6%9E%90%E5%99%A8%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E-cve-2025-68387-%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Mon, 29 Dec 2025 02:17:02 +0800 https://blog.qife122.com/p/elastic-kibana-vega-ast-%E8%A7%A3%E6%9E%90%E5%99%A8%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E-cve-2025-68387-%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h1 id="cve-2025-68387elastic-kibana-中cwe-79输入过滤不当导致的跨站脚本漏洞">CVE-2025-68387：Elastic Kibana 中CWE-79输入过滤不当导致的跨站脚本漏洞</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2025-68387</strong></p> <p>CWE-79（网页生成过程中输入过滤不当，即“跨站脚本”）漏洞允许未经身份验证的用户通过Vega AST解析器中的一个函数处理程序漏洞，在将提供给Web浏览器的内容中嵌入恶意脚本，从而导致跨站脚本攻击。</p> https://blog.qife122.com/p/cve-2025-8199wordpress-marquee-addons%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 15 Dec 2025 16:51:25 +0800 https://blog.qife122.com/p/cve-2025-8199wordpress-marquee-addons%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-8199-cwe-79-web页面生成过程中输入中和不当跨站脚本">CVE-2025-8199: CWE-79 Web页面生成过程中输入中和不当（跨站脚本）</h1> <p><strong>严重性:</strong> 中等 <strong>类型:</strong> 漏洞</p> <h2 id="cve-2025-8199">CVE-2025-8199</h2> <p>由于对用户提供的属性输入清理和输出转义不足，WordPress的MarqueeAddons插件通过其Testimonial Marquee小部件在所有版本（包括及之前2.4.3版本）中存在存储型跨站脚本漏洞。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者能够在页面中注入任意Web脚本，每当用户访问被注入的页面时，这些脚本就会执行。</p> https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E8%AF%84%E8%AE%BA%E5%B0%8F%E7%A7%98%E4%B9%A6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%ACxss%E6%BC%8F%E6%B4%9Ecve-2025-13988%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Sun, 14 Dec 2025 06:55:42 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E8%AF%84%E8%AE%BA%E5%B0%8F%E7%A7%98%E4%B9%A6%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%ACxss%E6%BC%8F%E6%B4%9Ecve-2025-13988%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h2 id="cve-2025-13988-cwe-79-web页面生成期间输入中和不当跨站脚本漏洞---实时威胁情报">CVE-2025-13988: CWE-79 Web页面生成期间输入中和不当（跨站脚本）漏洞 - 实时威胁情报</h2> <p><strong>严重性：</strong> 中等 <strong>类型：</strong> 漏洞</p> <h3 id="cve-2025-13988">CVE-2025-13988</h3> <p>WordPress的“评论小秘书”插件在1.3.2及之前的所有版本中，通过<code>$_SERVER['PHP_SELF']</code>变量存在反射型跨站脚本（XSS）漏洞。这是由于插件设置页面上对<code>$_SERVER['PHP_SELF']</code>变量的输入清理和输出转义不足所致。这使得未经身份验证的攻击者有可能在页面中注入任意Web脚本并执行，前提是他们能成功诱使用户执行点击链接等操作。</p>