漏洞概述
WordPress 插件 NotificationX(用于 FOMO、实时销售通知、WooCommerce 销售弹窗、GDPR 合规、社交证明、公告横幅及浮动通知栏)在 3.2.0 及更早版本中存在 DOM 型跨站脚本(XSS)漏洞。该漏洞源于插件在处理预览数据时未对 ‘nx-preview’ POST 参数进行充分的输入过滤和输出转义,允许未经身份验证的攻击者通过诱导用户访问恶意页面并自动提交表单至目标站点,从而在受害者浏览器中执行任意脚本。
漏洞详情
- CVE 编号:CVE-2025-15380
- 漏洞类型:DOM-Based Cross-Site Scripting (CWE-79)
- CVSS 评分:7.2(HIGH)
向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N - 影响版本:NotificationX 插件所有版本 ≤ 3.2.0
影响范围
所有使用 NotificationX WordPress 插件且版本号小于或等于 3.2.0 的网站均受此漏洞影响。该插件广泛用于电商网站以展示实时销售通知和社交证明内容,因此潜在受影响站点数量较大。
风险分析
由于该漏洞为 DOM 型 XSS 且无需用户交互(UI:N),攻击者可构造恶意网页,在用户访问时自动向目标 WordPress 站点提交包含恶意脚本的 ‘nx-preview’ 参数。当管理员或其他用户后续访问受影响页面时,注入的脚本将在其浏览器中执行,可能导致会话劫持、钓鱼攻击、站点内容篡改或进一步的客户端攻击。尽管漏洞本身不直接导致服务器端代码执行,但可被用于窃取敏感信息或作为供应链攻击的一环。
修复建议
- 立即升级 NotificationX 插件至安全版本(3.2.1 或更高),开发者已在该版本中修复了输入验证与输出转义问题。
- 如无法立即升级,建议临时禁用该插件,或通过 Web 应用防火墙(WAF)规则拦截包含异常 ‘nx-preview’ 参数的 POST 请求。
