| 插件名称 | Jet产品画廊 |
|---|---|
| 漏洞类型 | 跨站脚本攻击(XSS) |
| CVE 编号 | CVE-2025-54749 |
| 紧急程度 | 低 |
| CVE 发布日期 | 2025-08-14 |
| 来源网址 | CVE-2025-54749 |
紧急:JetProductGallery (<= 2.2.0.2) XSS (CVE-2025-54749) — WordPress 网站所有者现在必须做什么
TL;DR — 快速总结
一个公开披露的跨站脚本(XSS)漏洞(CVE-2025-54749)影响 WooCommerce 的 JetProductGallery 插件,当安装的插件版本为 2.2.0.2 或更低. 。供应商在 版本 2.2.0.3 中发布了修复该问题的更新。该漏洞允许具有贡献者权限的用户注入恶意 HTML/JavaScript,当查看产品页面或画廊组件时,这些代码可能在其他用户的浏览器中执行。.
如果您运营一个使用 JetProductGallery 的 WordPress 网站:
- 将插件更新到 2.2.0.3 或更高版本 立即更新(供应商补丁是主要修复)。.
- 如果您无法立即更新,请采取缓解措施:收紧贡献者权限,扫描注入的脚本,通过您的 WAF 或服务器过滤器部署虚拟补丁,并启用运行时保护,如内容安全策略(CSP),以减少影响。.
- 检查网站是否有被攻破的迹象,检查日志,如果发现恶意代码的证据,请从干净的备份中恢复。.
本公告解释了风险、现实攻击场景、应采取的立即步骤、检测方法以及长期加固措施——从一位熟悉电子商务和多供应商环境的香港安全从业者的角度。.
背景:我们对该问题的了解
- 漏洞类型:跨站脚本(XSS)
- 受影响的软件:JetProductGallery(Jet Woo 产品画廊插件)
- 受影响的版本: <= 2.2.0.2
- 修复版本:2.2.0.3
- CVE:CVE-2025-54749
- 报告者:安全研究人员(公开披露)
- 所需攻击者权限:贡献者(能够添加产品或修改与产品相关的内容)
- CVSS(报告):6.5 — 中等严重性,反映持续内容注入风险
电子商务网站上的持久性XSS对客户信任和安全性影响重大。这里的区别在于,贡献者级别的账户可以注入在产品页面上持久存在的有效负载——这是香港及该地区市场、代理商商店和多作者目录中现实的风险。.
这很重要——现实的攻击路径
能够创建或编辑产品内容的攻击者(贡献者角色或类似角色)可以:
- 将脚本标签注入到画廊标题、图像元数据、自定义字段或插件渲染的其他产品字段中,而没有适当的转义。.
- 使用注入的脚本将用户重定向到钓鱼页面,显示恶意覆盖内容,或尝试窃取会话令牌(受浏览器保护的限制)。.
- 加载其他恶意资源(跟踪器、窃取脚本)或对用户触发不必要的浏览器操作。.
- 持久化有效负载,以便在查看产品页面或画廊时触发,迅速大规模暴露访客。.
立即行动(前1-24小时)
-
将JetProductGallery更新到2.2.0.3或更高版本
这是主要和最终的修复。通过WordPress管理员更新(插件 → 已安装插件 → 更新)或通过WP-CLI:
wp 插件更新 jet-woo-product-gallery验证您安装中的插件slug;如果不同,请在命令中替换slug。.
-
如果您无法立即更新,请部署补偿控制
Apply server or WAF rules to block or sanitize script tags and suspicious payloads in product-related requests and fields the plugin renders (gallery captions, image titles, product meta). Block POST/PUT requests containing
