CVE-2025-8195: CWE-79 JetWidgets For Elementor插件中的网页生成期间输入处理不当（跨站脚本）

严重性：中等 类型：漏洞

CVE-2025-8195

WordPress的JetWidgets For Elementor插件在1.0.20及之前的所有版本中存在存储型跨站脚本漏洞，漏洞源于插件“图像对比”和“订阅”小部件对用户提供的属性输入清理和输出转义不足。这使得拥有贡献者及以上权限的认证攻击者能够在页面中注入任意Web脚本，当用户访问被注入的页面时，这些脚本将会执行。

技术分析摘要

CVE-2025-8195是一个在JetWidgets For Elementor插件中发现的存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展，用于通过“图像对比”和“订阅”等小部件增强网站功能。此漏洞源于在网页生成过程中对用户提供的输入处理不当，具体是由于这些小部件处理的属性输入清理和输出转义不足。此缺陷允许拥有贡献者及以上权限的认证攻击者向页面中注入任意JavaScript代码。由于恶意脚本被持久存储，它会在任何访问被入侵页面的用户上下文中执行，可能导致会话劫持、凭据窃取或在受害者浏览器会话中执行未授权操作。该漏洞影响插件1.0.20及之前的所有版本。其CVSS 3.1基础评分为6.4，反映了中等严重性，具有网络攻击矢量、低攻击复杂性，需要权限但无需用户交互。其范围已更改，表明该漏洞可能影响最初受感染组件之外的资源。目前尚未报告公开的利用程序，但以贡献者级别访问权限为前提，降低了在多用户环境中被利用的门槛。该漏洞于2025年12月13日发布，最初预订日期为2025年7月。目前尚无官方补丁链接，强调了主动缓解的必要性。

潜在影响

对于欧洲组织而言，此漏洞对使用JetWidgets For Elementor插件的网站构成了重大风险，特别是那些允许多个拥有贡献者或更高角色的用户管理内容的网站。利用此漏洞可能导致在访问者浏览器中执行未授权脚本，从而引发会话劫持、数据窃取或篡改，损害声誉和信任。鉴于WordPress在整个欧洲（尤其是在媒体、教育和电子商务等领域）的广泛使用，其影响可能非常广泛。如果内部用户成为目标，该漏洞还可能被用作在企业网络内进一步攻击的立足点。无需用户交互意味着任何访问受感染页面的用户都面临风险，从而增加了潜在的攻击面。此外，“范围已更改”表明该漏洞可能影响初始注入点之外的其他组件或用户，从而放大了潜在损害。对于遵守严格隐私法规（如GDPR）的组织，如果个人数据通过此漏洞被暴露或操纵，可能会面临合规风险。

缓解建议

欧洲组织应立即审计其WordPress环境，识别JetWidgets For Elementor插件的安装情况，特别是1.0.20及之前的版本。在官方补丁发布之前，应仅将贡献者级别及更高级别的权限限制授予受信任的用户，以最小化恶意输入的风险。实施带有规则集的Web应用程序防火墙，以检测和阻止针对受影响小部件的常见XSS攻击载荷。采用内容安全策略（CSP）标头来限制未授权脚本的执行。定期进行安全审查，并严格清理所有用户输入，尤其是在小部件配置中。监控网站日志和用户活动，查找可能表明攻击尝试的异常行为。如果非必需，考虑禁用或移除易受攻击的小部件。一旦补丁可用，应优先在所有受影响系统上部署。此外，应教育内容贡献者有关安全输入实践以及注入不受信任内容的风险。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

CVE-2025-8195: CWE-79 网页生成期间输入处理不当（跨站脚本）in jetmonsters JetWidgets For Elementor

严重性：中等 类型：漏洞

CVE：CVE-2025-8195

WordPress的JetWidgets For Elementor插件在1.0.20及之前的所有版本中存在存储型跨站脚本漏洞，漏洞源于插件“图像对比”和“订阅”小部件对用户提供的属性输入清理和输出转义不足。这使得拥有贡献者及以上权限的认证攻击者能够在页面中注入任意Web脚本，当用户访问被注入的页面时，这些脚本将会执行。

技术摘要

CVE-2025-8195是一个在JetWidgets For Elementor插件中发现的存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展，用于通过“图像对比”和“订阅”等小部件增强网站功能。此漏洞源于在网页生成过程中对用户提供的输入处理不当，具体是由于这些小部件处理的属性输入清理和输出转义不足。此缺陷允许拥有贡献者及以上权限的认证攻击者向页面中注入任意JavaScript代码。由于恶意脚本被持久存储，它会在任何访问被入侵页面的用户上下文中执行，可能导致会话劫持、凭据窃取或在受害者浏览器会话中执行未授权操作。该漏洞影响插件1.0.20及之前的所有版本。其CVSS 3.1基础评分为6.4，反映了中等严重性，具有网络攻击矢量、低攻击复杂性，需要权限但无需用户交互。其范围已更改，表明该漏洞可能影响最初受感染组件之外的资源。目前尚未报告公开的利用程序，但以贡献者级别访问权限为前提，降低了在多用户环境中被利用的门槛。该漏洞于2025年12月13日发布，最初预订日期为2025年7月。目前尚无官方补丁链接，强调了主动缓解的必要性。

潜在影响

对于欧洲组织而言，此漏洞对使用JetWidgets For Elementor插件的网站构成了重大风险，特别是那些允许多个拥有贡献者或更高角色的用户管理内容的网站。利用此漏洞可能导致在访问者浏览器中执行未授权脚本，从而引发会话劫持、数据窃取或篡改，损害声誉和信任。鉴于WordPress在整个欧洲（尤其是在媒体、教育和电子商务等领域）的广泛使用，其影响可能非常广泛。如果内部用户成为目标，该漏洞还可能被用作在企业网络内进一步攻击的立足点。无需用户交互意味着任何访问受感染页面的用户都面临风险，从而增加了潜在的攻击面。此外，“范围已更改”表明该漏洞可能影响初始注入点之外的其他组件或用户，从而放大了潜在损害。对于遵守严格隐私法规（如GDPR）的组织，如果个人数据通过此漏洞被暴露或操纵，可能会面临合规风险。

缓解建议

欧洲组织应立即审计其WordPress环境，识别JetWidgets For Elementor插件的安装情况，特别是1.0.20及之前的版本。在官方补丁发布之前，应仅将贡献者级别及更高级别的权限限制授予受信任的用户，以最小化恶意输入的风险。实施带有规则集的Web应用程序防火墙，以检测和阻止针对受影响小部件的常见XSS攻击载荷。采用内容安全策略（CSP）标头来限制未授权脚本的执行。定期进行安全审查，并严格清理所有用户输入，尤其是在小部件配置中。监控网站日志和用户活动，查找可能表明攻击尝试的异常行为。如果非必需，考虑禁用或移除易受攻击的小部件。一旦补丁可用，应优先在所有受影响系统上部署。此外，应教育内容贡献者有关安全输入实践以及注入不受信任内容的风险。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE数据库 V5 发布日期： 2025年12月13日 星期六

CVE-2025-8195: CWE-79 网页生成期间输入处理不当（跨站脚本）in jetmonsters JetWidgets For Elementor

▲0▼ 收藏 中等 漏洞 CVE-2025-8195 cve cve-2025-8195 cwe-79 发布日期： 2025年12月13日 星期六 (2025年12月13日，08:21:14 UTC) 来源： CVE数据库 V5 供应商/项目： jetmonsters 产品： JetWidgets For Elementor

描述 WordPress的JetWidgets For Elementor插件在1.0.20及之前的所有版本中存在存储型跨站脚本漏洞，漏洞源于插件“图像对比”和“订阅”小部件对用户提供的属性输入清理和输出转义不足。这使得拥有贡献者及以上权限的认证攻击者能够在页面中注入任意Web脚本，当用户访问被注入的页面时，这些脚本将会执行。

AI驱动分析 AI 最后更新： 2025年12月13日，08:51:24 UTC

技术分析 CVE-2025-8195是一个在JetWidgets For Elementor插件中发现的存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展，用于通过“图像对比”和“订阅”等小部件增强网站功能。此漏洞源于在网页生成过程中对用户提供的输入处理不当，具体是由于这些小部件处理的属性输入清理和输出转义不足。此缺陷允许拥有贡献者及以上权限的认证攻击者向页面中注入任意JavaScript代码。由于恶意脚本被持久存储，它会在任何访问被入侵页面的用户上下文中执行，可能导致会话劫持、凭据窃取或在受害者浏览器会话中执行未授权操作。该漏洞影响插件1.0.20及之前的所有版本。其CVSS 3.1基础评分为6.4，反映了中等严重性，具有网络攻击矢量、低攻击复杂性，需要权限但无需用户交互。其范围已更改，表明该漏洞可能影响最初受感染组件之外的资源。目前尚未报告公开的利用程序，但以贡献者级别访问权限为前提，降低了在多用户环境中被利用的门槛。该漏洞于2025年12月13日发布，最初预订日期为2025年7月。目前尚无官方补丁链接，强调了主动缓解的必要性。

潜在影响 对于欧洲组织而言，此漏洞对使用JetWidgets For Elementor插件的网站构成了重大风险，特别是那些允许多个拥有贡献者或更高角色的用户管理内容的网站。利用此漏洞可能导致在访问者浏览器中执行未授权脚本，从而引发会话劫持、数据窃取或篡改，损害声誉和信任。鉴于WordPress在整个欧洲（尤其是在媒体、教育和电子商务等领域）的广泛使用，其影响可能非常广泛。如果内部用户成为目标，该漏洞还可能被用作在企业网络内进一步攻击的立足点。无需用户交互意味着任何访问受感染页面的用户都面临风险，从而增加了潜在的攻击面。此外，“范围已更改”表明该漏洞可能影响初始注入点之外的其他组件或用户，从而放大了潜在损害。对于遵守严格隐私法规（如GDPR）的组织，如果个人数据通过此漏洞被暴露或操纵，可能会面临合规风险。

缓解建议 欧洲组织应立即审计其WordPress环境，识别JetWidgets For Elementor插件的安装情况，特别是1.0.20及之前的版本。在官方补丁发布之前，应仅将贡献者级别及更高级别的权限限制授予受信任的用户，以最小化恶意输入的风险。实施带有规则集的Web应用程序防火墙，以检测和阻止针对受影响小部件的常见XSS攻击载荷。采用内容安全策略（CSP）标头来限制未授权脚本的执行。定期进行安全审查，并严格清理所有用户输入，尤其是在小部件配置中。监控网站日志和用户活动，查找可能表明攻击尝试的异常行为。如果非必需，考虑禁用或移除易受攻击的小部件。一旦补丁可用，应优先在所有受影响系统上部署。此外，应教育内容贡献者有关安全输入实践以及注入不受信任内容的风险。

受影响国家 德国 英国 法国 荷兰 意大利 西班牙 波兰 瑞典

需要更详细的分析？ 获取专业版 专业功能 如需访问高级分析和更高的速率限制，请联系 root@offseq.com

技术细节 数据版本 5.2 分配者简称 Wordfence 预订日期 2025-07-25T14:55:13.245Z Cvss 版本 3.1 状态 已发布 威胁ID： 693d2747f35c2264d8472304 添加到数据库： 2025年12月13日，上午8:43:51 最后丰富： 2025年12月13日，上午8:51:24 最后更新： 2025年12月14日，上午1:51:01 浏览量： 23

社区评论 0 条评论 众包缓解策略，分享情报上下文，并对最有帮助的回复进行投票。登录添加您的声音，帮助防御者保持领先。 排序方式： 最佳最新最旧 撰写评论 社区提示 ▼ 正在加载社区见解… 想要贡献缓解步骤或威胁情报上下文？登录或创建帐户以加入社区讨论。

相关威胁 CVE-2025-14639: itsourcecode学生管理系统中的SQL注入 中等 漏洞 2025年12月14日 星期日 CVE-2025-14638: itsourcecode在线宠物店管理系统中的SQL注入 中等 漏洞 2025年12月14日 星期日 CVE-2025-13832 未知 漏洞 2025年12月13日 星期六 CVE-2025-14637: itsourcecode在线宠物店管理系统中的SQL注入 中等 漏洞 2025年12月13日 星期六 ClickFix攻击仍在使用Finger，(周六，12月13日) 中等 漏洞 2025年12月13日 星期六

操作 更新AI分析 (专业版) 更新AI分析需要专业版控制台访问权限。请前往控制台 → 账单升级。 请登录控制台以使用AI分析功能。

分享 外部链接 NVD数据库 MITRE CVE 参考 1 参考 2 参考 3 参考 4 参考 5 在Google上搜索

需要增强功能？ 请联系 root@offseq.com 获取专业版访问权限，享受改进的分析和更高的速率限制。

最新威胁 为需要预见未来重要事件的安全团队提供的实时情报。

SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, Riga, Latvia, LV-1050 价格含增值税 (21%) 支持 radar@offseq.com +371 2256 5353 平台 仪表板 威胁 威胁地图 订阅源 API文档 帐户控制台 支持 OffSeq.com 职业 服务 联系 周一至周五，09:00–18:00 (EET) 3个工作日内回复 政策与支付 §条款与条件↗ 交付条款↺ 退货与退款 🔒隐私政策 接受的支付方式 信用卡支付由EveryPay安全处理。 Twitter Mastodon GitHub Bluesky LinkedIn 键盘快捷键 导航 前往主页 g h 前往威胁 g t 前往地图 g m 前往订阅源 g f 前往控制台 g c 搜索与过滤器 聚焦搜索/切换过滤器 f 选择“所有时间”过滤器 a 清除所有过滤器 c l 刷新数据 r UI控制 切换深色/浅色主题 t 显示键盘快捷键 ? 清除焦点/关闭模态框 Escape 辅助功能 导航至下一项 j 导航至前一项 k 激活所选项目 Enter 提示： 随时按 ? 键以切换此帮助面板。多键快捷键如 g h 应按顺序按下。