CVE-2026-5243 CVSS 6.4 中危

CVE-2026-5243: The Plus Addons for Elementor 存储型XSS漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5243

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

The Plus Addons for Elementor (WordPress Plugin)

漏洞概述

The Plus Addons for Elementor WordPress 插件在 6.4.11 及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于 Navigation Menu Lite 小部件的 `menu_hover_click` 参数缺乏足够的输入清理和输出转义。拥有贡献者级别及以上权限的认证攻击者可利用此漏洞在页面中注入恶意 Web 脚本，当用户访问被注入的页面时，脚本将自动执行，从而窃取敏感信息或执行未授权操作。

技术细节

该漏洞的核心在于插件的 `Navigation Menu Lite` 小部件对用户输入的处理不当。具体来说，在 `modules/widgets/tp_navigation_menu_lite.php` 脚本中，处理 `menu_hover_click` 参数时缺乏必要的输入消毒机制。攻击者通过 WordPress 编辑器界面，构造包含恶意 JavaScript 代码的 Payload（例如 `<img src=x onerror=alert(1)>`）并发送至服务器。服务器接收后将其原样存储在数据库中，未进行任何转义处理。当普通用户浏览包含该受影响小部件的页面时，服务器会从数据库读取该参数值并直接输出到 HTML 响应中。由于缺乏输出转义，浏览器将该 Payload 当作有效代码执行，从而触发 XSS 攻击。这种存储型特性使得攻击具有持久性和广泛的传播性。

攻击链分析

STEP 1

侦察与认证

攻击者确认目标站点使用了存在漏洞的 The Plus Addons for Elementor 插件，并获取具有贡献者及以上权限的账户凭据。

STEP 2

Payload 注入

攻击者登录后台，编辑页面并添加 Navigation Menu Lite 小部件，利用 `menu_hover_click` 参数输入恶意 JavaScript 脚本。

STEP 3

存储与持久化

服务器接收未经过滤的数据并将其存储在数据库中，恶意脚本被持久化保存到页面配置中。

STEP 4

触发与执行

当其他用户（如管理员或访客）访问包含该小部件的页面时，恶意脚本从数据库加载并在其浏览器上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-5243
// Payload to be injected into the 'menu_hover_click' parameter
var payload = '"><script>alert("CVE-2026-5243_POC")</script>';

/*
Usage:
1. Log in as a Contributor or higher.
2. Edit a page using Elementor.
3. Add the 'Navigation Menu Lite' widget.
4. Intercept the request when updating the page.
5. Locate 'menu_hover_click' in the POST data and replace it with the payload.
6. Forward the request to save the page.
7. Visit the page to observe the XSS execution.
*/

影响范围

The Plus Addons for Elementor <= 6.4.11

防御指南

临时缓解措施

若无法立即升级，请暂时停用 Navigation Menu Lite 小部件，并检查站点页面中是否存在可疑的脚本代码。同时，建议对所有用户输入实施严格的输入验证和输出编码机制。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表