CVE-2026-22518CVE-2026-22518是WordPress插件X Addons for Elementor中的一个DOM型跨站脚本(XSS)漏洞。该漏洞存在于网页生成过程中,由于对用户输入的清理不当,攻击者可以在受害者的浏览器中执行任意JavaScript代码。受影响的插件版本为1.0.23及以下。由于该漏洞为DOM型XSS,恶意脚本在客户端处理DOM时执行,无需与服务端交互即可窃取用户会话、劫持账户或进行钓鱼攻击。此漏洞需要低权限认证用户触发,且需要受害者进行一定交互才能成功利用。CVSS 3.1评分6.5,中危等级,主要影响WordPress网站使用该插件的用户。
该漏洞属于DOM型XSS(又称第三类XSS),其特点是恶意 payload 在客户端JavaScript代码中被处理,而非在服务端响应中。具体而言,当X Addons for Elementor插件在生成页面内容时,会将用户可控的数据直接插入到DOM中而未进行适当的转义处理。攻击者可以通过构造包含恶意JavaScript代码的参数(如URL片段标识符或表单输入),当受害者访问包含该payload的页面时,浏览器会将其解析为可执行脚本。由于DOM型XSS的 payload 存储在客户端,服务端的WAF和传统XSS过滤器可能无法检测。攻击者通常利用此漏洞窃取Cookie、会话令牌,或重定向用户至恶意站点。修复方案需在客户端JavaScript代码中添加适当的输入验证和输出编码。