摘要

在連結跳躍器插件（版本最高至 2.5）中已披露一個儲存的身份驗證跨站腳本（XSS）漏洞（CVE-2025-15483）。經過身份驗證的管理員可以將 HTML/JavaScript 注入 hop_name 欄位，該欄位後來會在沒有適當轉義的情況下呈現。雖然利用該漏洞需要管理員權限，但在管理上下文中運行的儲存型 XSS 可能導致會話盜竊、後門創建、網站篡改和進一步的安全漏洞。.

TL;DR — 立即行動

• 檢查是否安裝了連結跳躍器並確認版本。將版本 ≤ 2.5 視為易受攻擊。.
• 如果沒有可用的供應商修補程式，考慮在發布安全版本之前禁用或移除該插件。.
• 限制管理訪問：檢查管理帳戶，強制使用強密碼，盡可能啟用 MFA。.
• 在資料庫中搜尋包含 HTML 的 hop_name 條目，,
  查看我的訂單

  0

  小計

  稅金和運費在結帳時計算

  結帳