WWordPress 漏洞数据库

香港社区建议链接 Hopper XSS(CVE202515483)

WordPress Link Hopper 插件中的跨站脚本攻击 (XSS)
0
分享
0
0
0
0
插件名称 链接跳转器
漏洞类型 跨站脚本攻击(XSS)
CVE 编号 CVE-2025-15483
紧急程度
CVE 发布日期 2026-02-13
来源网址 CVE-2025-15483

紧急:链接跳转器中的存储型 XSS (<= 2.5) — WordPress 网站所有者和开发者需要知道的事项

日期: 2026年2月13日

作者: 香港安全专家

摘要

在链接跳转器插件(版本最高至2.5)中披露了一个存储的认证跨站脚本(XSS)漏洞(CVE-2025-15483)。经过认证的管理员可以将 HTML/JavaScript 注入 hop_name 字段,该字段随后在没有适当转义的情况下呈现。尽管利用该漏洞需要管理员权限,但在管理上下文中运行的存储型 XSS 可能导致会话盗窃、后门创建、网站篡改和进一步的安全漏洞。.

TL;DR — 立即行动

  • 检查是否安装了链接跳转器并确认版本。将版本 ≤ 2.5 视为易受攻击。.
  • 如果没有可用的供应商补丁,请考虑禁用或移除该插件,直到发布安全版本。.
  • 限制管理访问:审查管理员账户,强制使用强密码,尽可能启用多因素认证。.
  • Search the database for hop_name entries containing HTML,