一、 漏洞 CVE-2025-2806 基础信息
漏洞标题
tagDiv Composer 小于等于 5.3版本-通过'data'反射型XSS漏洞
来源:AIGC 神龙大模型
漏洞描述信息
## 概述
WordPress 的 tagDiv Composer 插件存在反射型跨站脚本(XSS)漏洞。该插件被 Newspaper 主题使用,攻击者可以通过操纵 `data` 参数注入任意 web 脚本,这些脚本在用户执行特定操作(如点击链接)时执行。
## 影响版本
所有版本 <= 5.3
## 细节
漏洞源于对 `data` 参数的输入校验和输出转义不足。未经认证的攻击者可以通过注入恶意脚本,诱使用户执行特定操作(如点击链接)来利用此漏洞。
## 影响
该漏洞允许攻击者注入任意 web 脚本,如果用户执行了特定操作(如点击链接),这些脚本将被执行。攻击者可以利用这一点进行各种恶意操作,如窃取用户数据、劫持会话等。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
tagDiv Composer <= 5.3 - Reflected Cross-Site Scripting via 'data'
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The tagDiv Composer plugin for WordPress, used by the Newspaper theme, is vulnerable to Reflected Cross-Site Scripting via the ‘data’ parameter in all versions up to, and including, 5.3 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-2806 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
