关键信息摘要 漏洞编号: CVE-2025-12135 漏洞类型: Unauthenticated Stored Cross-Site Scripting (XSS) 受影响版本: WPBookit <= 1.0.6 披露日期: November 20, 2025 漏洞描述 WPBookit 插件在 方法中未能验证用户权限或对自定义 CSS/JS 代码进行清理,允许未认证的攻击者通过 AJAX 端点注入任意 JavaScript,导致存储型 XSS 和潜在的会话劫持。 利用示例 漏洞细节 存在位置: 类的 方法。 影响范围: 任何访问者都能注入并在每页加载时执行任意 CSS/JS 代码。 漏洞代码段: 关键标签 CVE WordPress WPBookit