WordPress 主题 Zoner Real Estate 4.1.1 持久型 XSS 漏洞 漏洞概述 WordPress 主题 Zoner Real Estate 4.1.1 存在一个持久型跨站脚本(XSS)漏洞。该漏洞允许经过身份验证的代理通过地址输入字段注入恶意脚本,在创建属性时执行。攻击者可以在属性创建表单中注入 JavaScript 有效载荷,以便在管理员查看属性以进行审批时执行,从而实现 cookie 窃取和会话劫持。 影响范围 受影响产品: Zoner Real Estate <= 4.1.1 CVE: CVE-2019-25742 CWE: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS: 5.1 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 参考链接: - ExploitDB-47436 - 官方产品主页 - 产品参考 POC 代码 其他信息 严重程度: 中等 日期: 6/4/2026 贡献者: m02e