CVE-2025-8199：CWE-79 网页生成期间输入中和不当（‘跨站脚本’）于 debuggersstudio Marquee Addons for Elementor – Advanced Elements & Modern Motion Widgets

严重性：中等 类型：漏洞 CVE：CVE-2025-8199

WordPress 的 MarqueeAddons 插件因其 Testimonial Marquee 小部件存在存储型跨站脚本漏洞。由于对用户提供的属性输入清理和输出转义不足，在包括 2.4.3 在内的所有版本中均受影响。这使得拥有贡献者级别及以上权限的经过身份验证的攻击者能够在页面中注入任意 Web 脚本，每当用户访问被注入的页面时，这些脚本就会执行。

技术摘要

CVE-2025-8199 是一个被归类为 CWE-79 的存储型跨站脚本漏洞，发现于由 debuggersstudio 开发的 Marquee Addons for Elementor – Advanced Elements & Modern Motion Widgets WordPress 插件中。该缺陷存在于 Testimonial Marquee 小部件中，用户提供的属性在渲染到网页之前未经过适当的清理或转义。这使得拥有贡献者级别或更高权限的经过身份验证的用户可以注入任意 JavaScript 代码，该代码会被持久化存储，并在任何用户查看受影响页面的上下文中执行。该漏洞影响包括 2.4.3 在内的所有版本。利用此漏洞需要网络访问权限和经过身份验证的贡献者级别权限，但一旦注入恶意脚本，则不需要用户交互来触发。其 CVSS v3.1 基础评分为 6.4，反映了中等严重性，攻击向量表明需要网络攻击向量、攻击复杂度低、需要权限、无需用户交互，并且存在范围变更。其影响包括潜在的机密性和完整性破坏，例如会话劫持、凭据窃取或代表用户执行未经授权的操作。截至发布日期，尚无相关补丁或官方修复程序链接，也未在野外发现已知的利用。此漏洞对于使用该插件的 WordPress 站点非常重要，特别是那些拥有多个贡献者或面向公众的推荐小部件的站点。

潜在影响

对于欧洲组织，此漏洞主要对安装了易受攻击的 Marquee Addons 插件的 WordPress 网站构成中度风险。利用此漏洞可能导致未经授权的脚本执行，使攻击者能够窃取会话 cookie、以用户身份执行操作或篡改网站，从而损害声誉并可能暴露敏感用户数据。依赖 WordPress 处理面向公众的内容并允许多个用户拥有贡献者级别访问权限的电子商务、媒体、教育和政府等行业的组织尤其面临风险。用户数据和网站内容的机密性和完整性面临风险，尽管可用性未受到直接影响。鉴于 WordPress 在欧洲的广泛使用以及 Elementor 及其插件的流行，潜在的攻击面是巨大的。对贡献者级别身份验证的要求在一定程度上限制了暴露范围，但并未消除风险，尤其是在拥有许多贡献者或内部访问控制薄弱的环境中。

缓解建议

欧洲组织应立即审核其 WordPress 安装，以确定是否存在 Marquee Addons for Elementor 插件并验证所使用的版本。如果运行的是 2.4.3 或更早版本，则应在有最新修补版本可用时升级到该版本，或应用供应商提供的任何补丁。在缺少官方补丁的情况下，组织应考虑暂时禁用 Testimonial Marquee 小部件或整个插件以降低风险。实施严格的访问控制，仅将贡献者级别权限限制给受信任的用户，并强制执行强身份验证机制，例如多因素身份验证。此外，部署带有自定义规则的 Web 应用程序防火墙 (WAF)，以检测和阻止针对易受攻击小部件参数的可疑脚本注入尝试。定期监控与推荐内容更新相关的异常活动日志。教育内容贡献者有关注入不受信任内容的风险，并强制执行输入验证策略。最后，维护事件响应计划以快速应对任何利用尝试。

受影响的国家

德国、法国、英国、意大利、西班牙、荷兰、波兰、瑞典、比利时、奥地利

来源： CVE Database V5 发布日期： 2025年12月13日 星期六