IPBUF安全漏洞报告
English
CVE-2025-13535 CVSS 6.4 中危

CVE-2025-13535 WordPress King Addons插件存储型XSS漏洞

披露日期: 2026-04-01
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-13535
漏洞类型
DOM型存储型跨站脚本攻击 (Stored DOM-based XSS)
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
King Addons for Elementor (WordPress Plugin)

相关标签

XSSDOM-Based XSSWordPressWordPress PluginElementorKing AddonsCWE-79Authenticated RCE

漏洞概述

WordPress插件King Addons for Elementor在51.1.38及之前版本中存在多个DOM型存储型XSS漏洞。该漏洞源于插件在JavaScript内联事件处理程序中错误地使用了转义函数,导致HTML实体被DOM解析器解码,从而允许攻击者突破JavaScript上下文。具有Contributor及以上权限的攻击者可通过Elementor小部件设置注入恶意脚本,当用户访问页面或管理员预览时触发执行,造成敏感信息窃取或会话劫持。

技术细节

该漏洞的核心在于插件对输入上下文的混淆处理。插件开发者在JavaScript内联事件属性(如onclick)中使用了esc_attr()和esc_url()进行转义,旨在防止XSS。然而,这些函数将特殊字符转换为HTML实体(如双引号变为"),而在DOM渲染时,这些实体会被还原。这使得攻击者可以构造包含实体的载荷,从而闭合引号并注入任意JavaScript事件。此外,插件在多个小部件(如Countdown、Image_Accordion)中直接使用.html()、模板字面量以及未经验证的window.location.href来处理用户数据。攻击者利用Contributor权限编辑Elementor页面,将恶意载荷注入小部件配置。当管理员或其他用户访问该页面或在编辑器中预览时,存储的恶意脚本将在浏览器端执行,导致存储型XSS攻击。

攻击链分析

STEP 1
侦察与权限获取
攻击者识别出目标网站使用了King Addons for Elementor插件,并获取了Contributor或更高级别的WordPress账户凭据。
STEP 2
载荷注入
攻击者登录后台,使用Elementor编辑页面。在受影响的小部件(如Wrapper Link, Countdown等)设置中,输入包含HTML实体的恶意JavaScript载荷(例如利用onclick属性注入)。
STEP 3
存储
保存页面设置。恶意载荷被存储在数据库中,并作为页面配置的一部分。
STEP 4
触发与执行
当管理员或其他用户访问该受影响页面,或在Elementor编辑器中预览该页面时,浏览器解析DOM。HTML实体被解码,导致恶意JavaScript代码在受害者浏览器上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
/* * PoC for CVE-2025-13535: King Addons for Elementor DOM-Based XSS * Description: Exploiting HTML entity decoding in onclick attributes. */ // Step 1: Attacker with Contributor access edits a page using Elementor. // Step 2: Attacker inserts the following payload into a vulnerable widget setting (e.g., Wrapper Link). // The payload uses HTML entities to bypass esc_attr(). var payload = "&quot; onclick=alert('CVE-2025-13535') //"; // Vulnerable backend code logic (Conceptual): // echo '<div onclick="doSomething(\'' . esc_attr($user_input) . '\')">'; // Resulting HTML in source: // <div onclick="doSomething('&quot; onclick=alert(&#39;CVE-2025-13535&#39;) //')"> // Step 3: When the DOM parses this, &quot; becomes ", breaking the attribute: // <div onclick="doSomething('" onclick=alert('CVE-2025-13535') //')"> // Step 4: The alert executes when the user interacts with the element or page loads depending on the widget.

影响范围

King Addons for Elementor <= 51.1.38

防御指南

临时缓解措施
如果无法立即更新插件,建议暂时禁用King Addons插件中的受影响功能模块(如Wrapper Link、Countdown、Image Accordion和Off Canvas Content)。同时,应严格审核Contributor级别用户发布的内容,并在未更新前避免在Elementor编辑器中预览未受信任的页面。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表