CVE-2026-4655 CVSS 6.4 中危

CVE-2026-4655: Element Pack插件存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4655

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Element Pack Addons for Elementor (WordPress插件)

漏洞概述

WordPress插件Element Pack Addons for Elementor在8.4.2及以下版本中存在存储型XSS漏洞。该漏洞源于SVG Image Widget组件对远程获取的SVG内容缺乏足够的输入清理和输出转义。具有Contributor及以上权限的认证攻击者可利用此漏洞注入任意JavaScript代码，当用户访问包含恶意组件的页面时触发执行，从而窃取敏感信息或劫持会话。

技术细节

该漏洞位于插件的`render_svg()`函数中。该函数使用`wp_safe_remote_get()`从用户提供的远程URL获取SVG内容。由于缺乏安全过滤，插件仅使用`preg_replace()`向SVG标签添加属性，未能移除恶意的事件处理器（如onload、onerror）。随后，未经净化的SVG内容被直接输出到页面中。攻击者可构造包含恶意JS的SVG文件并托管于远程服务器，通过SVG Image Widget引用该URL。恶意脚本会被存储在数据库中，并在访客浏览页面时执行，导致存储型XSS攻击。

攻击链分析

STEP 1

步骤1

攻击者准备包含恶意JavaScript代码的SVG文件，并将其托管在可访问的远程服务器上。

STEP 2

步骤2

攻击者使用具有Contributor或更高权限的账户登录WordPress后台。

STEP 3

步骤3

攻击者使用Elementor编辑页面，添加SVG Image Widget，并将图片来源设置为恶意SVG的远程URL。

STEP 4

步骤4

保存或发布页面。插件通过render_svg()函数获取并存储未经过滤的SVG内容。

STEP 5

步骤5

当管理员或普通用户访问该页面时，恶意SVG被渲染，JavaScript代码在受害者浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC: Malicious SVG file hosted on attacker server (e.g., http://attacker.com/poc.svg)
-->
<svg xmlns="http://www.w3.org/2000/svg" onload="alert('CVE-2026-4655 XSS')">
  <circle cx="50" cy="50" r="40" stroke="green" stroke-width="4" fill="yellow" />
</svg>

<!--
Exploitation Steps:
1. Attacker uploads the SVG above to a remote server.
2. Attacker logs into WordPress as a Contributor.
3. Edits a page with Elementor and adds the 'SVG Image' widget.
4. Sets the 'Image Source' to the remote URL of the malicious SVG.
5. Saves/Publishes the page.
6. When an Admin or user visits the page, the XSS executes.
-->

影响范围

Element Pack Addons for Elementor <= 8.4.2

防御指南

临时缓解措施

建议立即将插件升级至最新版本以修复此漏洞。如果暂时无法升级，应限制低权限用户（如Contributor）的内容发布权限，或者禁用SVG Image Widget功能，直到应用补丁为止。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表