关键漏洞信息 描述 漏洞类型: 存储型XSS (Stored XSS) 影响插件: Plugin Oficial – Getnet para WooCommerce < 1.8.1 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型跨站脚本攻击,即使在禁用未过滤HTML功能的情况下(例如在多站点设置中)。 概念验证 (Proof of Concept) 1. 访问 2. 在任意字段中输入有效载荷: 3. 保存并查看XSS效果。 影响的插件 插件名称: wc-checkout-getnet 修复版本: 1.8.1 参考资料 CVE编号: CVE-2025-1289 分类 类型: XSS OWASP Top 10: A7: 跨站脚本 (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 已验证 WPVDB ID: 5a296b59-f305-49a2-88b8-fca998f2c43e 时间线 公开发布日期: 2025-01-02 添加日期: 2025-03-07 最后更新日期: 2025-03-08