CVE-2025-7960:King Addons for Elementor 插件中的跨站脚本漏洞
严重性:中等 类型:漏洞 CVE编号: CVE-2025-7960
WordPress的King Addons for Elementor插件存在存储型跨站脚本漏洞。该漏洞影响该插件的定价滑块、定价计算器和图像手风琴小部件,涉及所有版本直至并包括51.1.39。漏洞成因在于对用户提供的属性输入清理不足和输出转义不充分。这使得拥有“贡献者”及以上权限的经过身份验证的攻击者能够在页面中注入任意Web脚本,每当用户访问被注入的页面时,这些脚本都会执行。
技术摘要
CVE-2025-7960是在King Addons for Elementor插件中发现的一个存储型跨站脚本漏洞。该插件是一个流行的WordPress扩展,提供超过4000个Elementor模块、650个模板和70多个小部件。由于对用户提供的输入属性清理和转义不足,该漏洞专门影响定价滑块、定价计算器和图像手风琴小部件。此缺陷允许拥有“贡献者”或更高权限的经过身份验证的用户向页面中注入任意JavaScript代码。由于恶意脚本被持久存储,每次任何用户查看受感染的页面时都会执行,可能会窃取会话令牌、将用户重定向到恶意站点或以受害者身份执行操作。
该漏洞的CVSS 3.1基本评分为6.4,属于中等严重性。其攻击向量为网络,攻击复杂度低,需要权限(贡献者或以上),无需用户交互,且存在作用域变更。目前尚无可用补丁,也未报告有主动利用。该漏洞源于CWE-79,表明在网页生成过程中对输入的处理不当。此问题突显了Web应用程序,尤其是广泛使用的CMS插件中,输入验证和输出编码不足所带来的风险。
潜在影响
对于欧洲的组织而言,此漏洞对运行WordPress并使用King Addons插件的Web应用程序的保密性和完整性构成重大风险。拥有“贡献者”权限的攻击者可以注入在其他用户上下文中执行的恶意脚本,可能导致会话劫持、未经授权的操作、数据窃取或网站篡改。这可能损害组织声誉,导致不合规(例如,如果个人数据暴露则违反GDPR),并扰乱业务运营。由于WordPress在欧洲广泛用于企业网站、电子商务和门户网站,受影响的系统范围很广。“贡献者”级别的权限要求意味着内部威胁或受入侵的账户是主要的攻击媒介。该漏洞不会直接影响可用性,但可能通过利用或修复活动间接导致服务中断。中等的CVSS评分反映了适度的影响,但考虑到在受感染站点内横向移动和权限提升的可能性,不应低估其风险。
缓解建议
- 监控King Addons的官方补丁或更新,并在发布后立即应用。
- 在补丁可用之前,严格限制“贡献者”级别的访问权限,并审核用户角色以最小化拥有此类权限的用户数量。
- 实施Web应用防火墙规则,以检测和阻止针对受影响小部件的可疑输入模式。
- 采用内容安全策略标头,限制在受影响页面上执行未经授权的脚本。
- 对涉及King Addons小部件的自定义功能进行定期安全审查和代码审计。
- 使用能够检测和清理WordPress内容中存储型XSS负载的安全插件。
- 教育内容贡献者关于安全输入实践以及注入不受信任内容的风险。
- 如果受影响的小部件不是必需的,考虑暂时禁用它们以减少攻击面。
- 监控日志中与受影响小部件相关的异常活动或脚本注入。
- 定期备份受影响的网站,以便在遭受入侵时能够快速恢复。
受影响国家
德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
来源: CVE数据库 V5 发布日期: 2025年12月13日星期六