CVE-2025-7960：King Addons for Elementor插件中的存储型跨站脚本漏洞

漏洞概述

严重性：中等 类型：漏洞 CVE编号： CVE-2025-7960

WordPress的King Addons for Elementor插件存在存储型跨站脚本漏洞。该漏洞影响插件的定价滑块、定价计算器和图像手风琴小部件，涉及所有版本（包括51.1.39及更早版本），原因在于对用户提供属性的输入清理和输出转义不足。这使得经过身份验证的攻击者（拥有贡献者及以上权限）能够在页面中注入任意Web脚本，每当用户访问被注入的页面时，这些脚本便会执行。

技术摘要

CVE-2025-7960是在King Addons for Elementor插件中发现的一个存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展，提供超过4,000个Elementor部分、650个模板和70多个小部件。此漏洞特别影响定价滑块、定价计算器和图像手风琴小部件，原因在于对用户提供的输入属性清理和转义不充分。此缺陷允许拥有贡献者或更高权限的经过身份验证的用户向页面中注入任意JavaScript代码。由于恶意脚本被持久存储，每当任何用户查看受感染的页面时它们都会执行，可能窃取会话令牌、将用户重定向到恶意网站或以受害者身份执行操作。

该漏洞的CVSS 3.1基础评分为6.4，属于中等严重性，攻击向量为网络，攻击复杂度低，需要权限（贡献者或以上），无需用户交互，但存在范围变更。目前尚无可用补丁，也未报告有主动利用活动。该漏洞源于CWE-79，表明在网页生成过程中输入处理不当。此问题凸显了Web应用程序（尤其是广泛使用的CMS插件）中因输入验证和输出编码不足带来的风险。

潜在影响

对于欧洲组织而言，此漏洞对运行WordPress并安装King Addons插件的Web应用程序的机密性和完整性构成重大风险。拥有贡献者权限的攻击者可以注入在其他用户上下文中执行的恶意脚本，可能导致会话劫持、未授权操作、数据盗窃或页面篡改。这可能损害组织声誉，导致法规不合规（例如，如果个人数据暴露则违反GDPR），并扰乱业务运营。由于WordPress在欧洲广泛用于企业网站、电子商务和门户网站，受影响系统的范围很广。对贡献者级别权限的要求意味着内部威胁或账户泄露是主要的攻击媒介。该漏洞不直接影响可用性，但可能通过利用或修复活动间接导致服务中断。中等的CVSS评分反映了中等影响，但考虑到在受感染网站内横向移动和权限提升的可能性，不应低估其风险。

缓解建议

1. 监控King Addons的官方补丁或更新，并在发布后立即应用。
2. 在补丁可用之前，严格限制贡献者级别的访问权限，并审计用户角色以最小化拥有此类特权的用户数量。
3. 实施Web应用防火墙规则，以检测和阻止针对受影响小部件的可疑输入模式。
4. 使用内容安全策略标头来限制在受影响页面上执行未经授权的脚本。
5. 对涉及King Addons小部件的定制功能进行定期的安全审查和代码审计。
6. 使用能够检测和清理WordPress内容中存储型XSS负载的安全插件。
7. 教育内容贡献者关于安全输入实践以及注入不受信任内容的风险。
8. 如果受影响的小部件非必需，考虑暂时禁用它们以减少攻击面。
9. 监控日志中与受影响小部件相关的异常活动或脚本注入。
10. 定期备份受影响的网站，以便在遭受破坏时能够快速恢复。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

数据版本： 5.2 分配者简称： Wordfence 保留日期： 2025-07-21T14:56:56.963Z Cvss版本： 3.1 状态： 已发布 威胁ID： 693d2747f35c2264d8472300 添加到数据库： 2025年12月13日 上午8:43:51 最后丰富： 2025年12月13日 上午8:51:36 最后更新： 2025年12月15日 上午4:35:44 浏览量： 14

来源： CVE数据库 V5 发布日期： 2025年12月13日星期六