CVE-2026-6504WordPress插件Royal Elementor Addons and Templates在1.7.1058及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞由于对'title_tag'参数缺乏足够的输入清理和输出转义导致。拥有Contributor及以上权限的认证攻击者可以利用此漏洞在页面中注入恶意Web脚本,当其他用户访问被注入的页面时,脚本将在其浏览器中执行,从而可能窃取Cookie或进行会话劫持。
该漏洞存在于Royal Elementor插件的多个组件中,特别是文章时间轴和视频播放列表小部件。在处理'title_tag'参数时,插件未对其进行严格的输入验证和输出转义。由于WordPress的Contributor角色通常拥有提交文章供审核的权限,攻击者可以利用此权限,在编辑器中通过特定小部件(如Posts Timeline或Video Playlist)设置'title_tag'属性。攻击者可以注入恶意的JavaScript代码(例如`<img src=x onerror=alert(1)>`)。当管理员或其他具有更高权限的用户审核或访问包含该小部件的页面时,恶意代码将在浏览器端执行。由于是存储型XSS,攻击载荷会持久化存储在数据库中,直到被移除。CVSS向量中的S:C表示该漏洞具有跨站点脚本(上下文)传播能力,增加了攻击风险。