CVE-2026-4790WordPress插件Premium Addons for Elementor在4.11.70及之前版本中存在严重的存储型跨站脚本(XSS)漏洞。该漏洞的核心原因是插件对'custom_svg'参数的输入清理和输出转义机制存在不足。拥有投稿人及以上权限的经过身份验证的攻击者可以利用此缺陷,在网站页面中注入恶意的Web脚本。一旦普通用户访问了这些被篡改的页面,恶意脚本便会自动执行,进而可能窃取用户敏感信息、劫持会话或进行其他恶意操作。
该漏洞的根源在于Premium Addons for Elementor插件处理‘custom_svg’参数时的安全机制缺失。在Web开发中,SVG(可缩放矢量图形)是一种基于XML的图像格式,它允许在图像内部嵌入JavaScript代码。当插件在接受用户输入的‘custom_svg’数据时,未能实施严格的输入验证和输出编码,导致攻击者可以嵌入恶意的XML命名空间或事件处理器。
具体的利用过程中,攻击者首先需要获取一个具有投稿人(Contributor)或更高权限的WordPress账户。登录后台后,攻击者利用Elementor编辑器创建或编辑页面,并添加Premium Addons提供的特定小工具。在该小工具的设置面板中,攻击者找到‘custom_svg’输入字段,并注入构造好的恶意SVG代码。这段代码通常包含`onload`或`onerror`等事件触发器,以及旨在窃取Cookie或执行管理员操作的JavaScript代码。
由于服务器端未对数据进行无害化处理,该恶意载荷被持久化存储在网站的数据库中。此时,攻击链的关键步骤已经完成。当任何用户(特别是管理员)访问包含该小工具的页面时,服务器会从数据库读取并直接渲染该SVG内容。受害者的浏览器在解析SVG时,会执行其中嵌入的JavaScript脚本。这种存储型XSS攻击具有持久性,危害范围广,常被用于窃取认证令牌、重定向用户至钓鱼网站,甚至在管理员上下文中执行后台操作。