CVE-2025-7960:King Addons for Elementor插件中的跨站脚本漏洞
严重性:中等 类型:漏洞
CVE-2025-7960
WordPress的King Addons for Elementor插件存在存储型跨站脚本漏洞。该漏洞影响该插件的Pricing Slider、Pricing Calculator和Image Accordion小部件,所有版本直至并包括51.1.39均受影响,原因是未能对用户提供的属性进行充分的输入清理和输出转义。这使得拥有"投稿者"及以上权限的经过身份验证的攻击者能够在页面中注入任意的Web脚本,每当用户访问被注入的页面时,这些脚本就会执行。
AI分析
技术摘要 CVE-2025-7960是在King Addons for Elementor插件中发现的一个存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展,提供超过4000个Elementor区块、650个模板和70多个小部件。该漏洞特别影响到Pricing Slider、Pricing Calculator和Image Accordion小部件,原因是未能对用户提供的输入属性进行充分的清理和转义。此缺陷允许拥有"投稿者"或更高权限的经过身份验证的用户向页面注入任意JavaScript代码。由于恶意脚本被持久化存储,每次任何用户查看被感染的页面时都会执行,这可能会危及会话令牌、将用户重定向到恶意站点或以受害者的身份执行操作。该漏洞的CVSS 3.1基本评分为6.4,属于中等严重性,攻击向量为网络,攻击复杂度低,需要权限,无需用户交互,且存在范围变更。目前尚无可用补丁,也没有报告显示存在活跃的利用行为。该漏洞源于CWE-79,表明在网页生成过程中未能正确中和输入。此问题凸显了在Web应用程序中,尤其是在广泛使用的CMS插件中,输入验证和输出编码不足的风险。
潜在影响 对于欧洲组织而言,此漏洞对运行带有King Addons插件的WordPress的Web应用程序的机密性和完整性构成了重大风险。拥有"投稿者"级别权限的攻击者可以注入在其他用户上下文中执行的恶意脚本,可能导致会话劫持、未授权操作、数据窃取或网站篡改。这可能会损害组织声誉,导致不合规(例如,如果个人数据暴露,则违反GDPR),并扰乱业务运营。由于WordPress在整个欧洲被广泛用于企业网站、电子商务和门户网站,受影响系统的范围很广。对"投稿者"级别权限的要求意味着内部威胁或受感染的账户是主要的攻击向量。该漏洞不会直接影响可用性,但可以通过利用或修复活动间接导致服务中断。中等的CVSS评分反映了适度影响,但考虑到在被攻陷的网站内存在横向移动和权限提升的可能性,不应低估其风险。
缓解建议
- 监控King Addons的官方补丁或更新,并在发布后立即应用。
- 在补丁可用之前,严格限制"投稿者"级别的访问权限,并审核用户角色,以尽量减少拥有此类权限的用户数量。
- 实施Web应用程序防火墙规则,以检测和阻止针对受影响小部件的可疑输入模式。
- 使用内容安全策略标头来限制在受影响页面上执行未经授权的脚本。
- 对涉及King Addons小部件的自定义项进行定期的安全审查和代码审计。
- 使用能够检测和清理WordPress内容中存储型XSS载荷的安全插件。
- 教育内容贡献者关于安全输入实践以及注入不受信任内容的风险。
- 如果受影响的小部件不是必需的,考虑暂时禁用以减少攻击面。
- 监控日志中与受影响小部件相关的异常活动或脚本注入。
- 定期备份受影响的网站,以便在遭受破坏时能够快速恢复。
受影响国家 德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
技术细节
- 数据版本: 5.2
- 分配者简称: Wordfence
- 日期预留: 2025-07-21T14:56:56.963Z
- CVSS版本: 3.1
- 状态: 已发布
- 威胁ID: 693d2747f35c2264d8472300
- 添加到数据库时间: 2025年12月13日,上午8:43:51
- 上次丰富时间: 2025年12月13日,上午8:51:36
- 上次更新时间: 2025年12月13日,下午5:06:12
- 浏览量: 9
来源: CVE数据库V5 发布日期: 2025年12月13日星期六