关键信息 描述 漏洞类型: Stored Cross-site Scripting (XSS) 受影响版本: tarteaucitron.io < 1.9.5 问题描述: 插件从YouTube oEmbed URL中使用查询参数,但未正确清理这些参数,允许具有贡献者及以上角色的用户执行存储型XSS攻击。 概念验证 示例代码: 效果: 当帖子显示时,JS代码被执行。 影响插件 插件名称: tarteaucitronjs 修复版本: 1.9.5 参考 CVE编号: CVE-2025-4955 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 5.9 (中等) 其他信息 原始研究员: Pierre Rudloff 提交者: Pierre Rudloff 验证状态: 已验证 WPVDB ID: b84a73a4-7e9b-4994-a9bb-ad47f7cf45da 时间线 公开发布日期: 2025-05-28 添加日期: 2025-05-28 最后更新日期: 2025-05-28