CVE-2026-39703该漏洞存在于WordPress插件WPBITS Addons For Elementor Page Builder中,涉及版本从早期版本至1.8.1。漏洞归因于Web页面生成过程中未能正确中和用户输入,导致了存储型跨站脚本攻击。由于该插件广泛用于Elementor页面构建器,此漏洞的影响范围较广。攻击者仅需拥有低权限账户即可利用此漏洞,将恶意JavaScript代码注入到网站的数据库中。当管理员或其他合法用户访问包含恶意代码的页面时,脚本将在其浏览器上下文中执行。这种攻击方式可能导致用户会话劫持、敏感信息窃取、恶意软件分发或网页内容篡改,严重威胁网站的安全性和用户隐私。
该漏洞的技术根源在于应用程序对不可信数据的处理缺乏严格的输出编码。在WPBITS Addons插件处理Elementor组件数据时,特定字段(如标题、描述或自定义属性)未经过滤即被存储到数据库中。当服务器端渲染页面时,直接将数据库中的原始数据反射到HTTP响应中,导致浏览器将其解释为可执行脚本。攻击者可以构造包含<script>标签或事件处理器(如onerror、onload)的Payload。由于CVSS评分为6.5,且向量为AV:N/AC:L/PR:L/UI:R/S:C,说明攻击门槛较低。攻击者首先需要一个低权限账号(如订阅者),然后在插件提供的输入接口注入Payload。随后,利用社会工程学诱导管理员访问受感染页面,或者等待管理员进行常规审核,Payload随即触发。由于Scope Changed(S:C),攻击者可以利用管理员的权限对系统进行进一步渗透,例如添加新管理员或上传Webshell。