CVE-2025-49934CVE-2025-49934是WordPress插件JetBlocks For Elementor中的一个存储型跨站脚本(XSS)漏洞。该插件版本从任意版本到1.3.18均受影响。漏洞源于应用程序在生成Web页面时未正确对用户输入进行中立化处理,导致攻击者可以在受害者的浏览器中执行任意JavaScript代码。攻击者利用此漏洞可以窃取会话Cookie、劫持用户账户、修改页面内容或进行钓鱼攻击。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含该恶意内容的页面的用户都会受到攻击。此漏洞需要认证且具有低权限的攻击者即可实施,对机密性、完整性和可用性均产生较低影响。
该漏洞是典型的存储型XSS(Cross-site Scripting)漏洞。在JetBlocks For Elementor插件的特定功能模块中,应用程序接受用户输入但未对其进行充分的输出编码或输入验证。攻击者可以通过插件的输入接口提交包含恶意JavaScript代码的内容,这些内容被存储在数据库中。当其他用户访问受影响的页面时,服务端从数据库读取并输出这些未经过滤的内容到HTML页面中。浏览器将其解析为JavaScript并执行,从而实现XSS攻击。攻击者通常利用此漏洞窃取用户会话令牌、修改页面显示内容或重定向用户到恶意网站。由于该插件是Elementor页面构建器的扩展组件,广泛应用于WordPress网站,漏洞影响范围较大。