緊急：JetProductGallery (<= 2.2.0.2) XSS (CVE-2025-54749) — WordPress 網站擁有者現在必須做的事情

由香港安全專家撰寫 — 2025-08-15

TL;DR — 快速摘要

一個公開披露的跨站腳本 (XSS) 漏洞 (CVE-2025-54749) 影響 WooCommerce 的 JetProductGallery 插件，當安裝的插件版本為 2.2.0.2 或更低. 。供應商在 版本 2.2.0.3 中發布了修復此問題的更新。該漏洞允許擁有貢獻者權限的用戶注入惡意 HTML/JavaScript，當查看產品頁面或畫廊組件時，這些代碼可能在其他用戶的瀏覽器中執行。.

如果您運營一個使用 JetProductGallery 的 WordPress 網站：

• 儘快將插件更新至 2.2.0.3 或更高版本 立即更新（供應商的修補程序是主要修復）。.
• 如果您無法立即更新，請採取緩解措施：收緊貢獻者權限，掃描注入的腳本，通過您的 WAF 或伺服器過濾器部署虛擬補丁，並啟用運行時保護，如內容安全政策 (CSP) 以減少影響。.
• 檢查網站是否有被攻擊的跡象，檢查日誌，並在發現惡意代碼證據時從乾淨的備份中恢復。.

本公告解釋了風險、現實的攻擊場景、立即採取的步驟、檢測方法以及長期加固措施——從一位熟悉電子商務和多供應商環境的香港安全從業者的角度出發。.

背景：我們對該問題的了解

• 漏洞類型：跨站腳本 (XSS)
• 受影響的軟體：JetProductGallery (Jet Woo Product Gallery 插件)
• 受影響版本： <= 2.2.0.2
• 修正於：2.2.0.3
• CVE：CVE-2025-54749
• 報告者：安全研究人員（公開披露）
• 所需攻擊者權限：貢獻者（能夠添加產品或修改產品相關內容）
• CVSS（報告）：6.5 — 中等嚴重性，反映持久內容注入風險

在電子商務網站上的持久 XSS 對客戶信任和安全性影響重大。這裡的區別在於，貢獻者級別的帳戶可以注入在產品頁面上持久存在的有效負載 — 這在香港及該地區的市場、代理商商店和多作者目錄中是一個現實風險。.

為什麼這很重要 — 現實的攻擊路徑

能夠創建或編輯產品內容的攻擊者（貢獻者角色或類似角色）可以：

• 將腳本標籤注入畫廊標題、圖像元數據、自定義字段或插件渲染的其他產品字段中，而沒有適當的轉義。.
• 使用注入的腳本將用戶重定向到釣魚頁面，顯示惡意覆蓋內容，或試圖竊取會話令牌（受限於瀏覽器保護）。.
• 加載其他惡意資源（跟蹤器、竊取腳本）或對用戶觸發不必要的瀏覽器操作。.
• 持久化有效負載，以便在查看產品頁面或畫廊時觸發，迅速大規模暴露訪問者。.

立即行動（前 1–24 小時）

1. 將 JetProductGallery 更新至 2.2.0.3 或更高版本

   這是主要和最終的修復。從 WordPress 管理員更新（插件 → 已安裝插件 → 更新）或通過 WP-CLI：

   wp 插件更新 jet-woo-product-gallery

   驗證您安裝中的插件 slug；如果不同，請在命令中替換 slug。.

2. 如果您無法立即更新，請部署補償控制措施

   將伺服器或 WAF 規則應用於阻止或清理產品相關請求和插件呈現的欄位中的腳本標籤和可疑有效負載（畫廊標題、圖片標題、產品元資料）。阻止包含的 POST/PUT 請求

   查看我的訂單

   0

   小計

   稅金和運費在結帳時計算

   結帳