CVE-2026-6916 CVSS 6.4 中危

CVE-2026-6916: Jeg Kit插件存储型XSS漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6916

漏洞类型

Stored Cross-Site Scripting (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jeg Kit for Elementor WordPress Plugin

漏洞概述

Jeg Kit for Elementor插件在3.1.0及以下版本中存在存储型XSS漏洞。由于对'sg_content_number_prefix'参数的输入清理和输出转义不足，拥有贡献者级别及以上权限的认证攻击者可以在页面中注入恶意脚本。当用户访问被注入的页面时，脚本将执行，可能导致敏感信息泄露或会话劫持。

技术细节

该漏洞位于Jeg Kit for Elementor插件的Fun Fact小部件中。在处理'sg_content_number_prefix'参数时，插件未对用户提供的数据进行充分的HTML实体编码和输入验证。攻击者可利用具有贡献者权限的账户登录WordPress后台，编辑包含Fun Fact小部件的Elementor页面，并将恶意JavaScript代码注入到前缀字段中。该恶意载荷会被持久化存储在数据库中。当管理员或其他用户浏览该页面时，服务器端直接输出未转义的内容，导致受害者的浏览器解析并执行攻击者注入的脚本，从而在受害者的浏览器上下文中执行任意操作。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获取一个具有贡献者或更高权限的WordPress账户凭据。

STEP 2

2. 注入恶意载荷

攻击者登录后台，使用Elementor编辑页面，添加“Fun Fact”小部件，并在'sg_content_number_prefix'字段中输入XSS Payload（如<script>...</script>）。

STEP 3

3. 存储载荷

保存页面时，由于插件缺乏过滤，恶意脚本被存储在数据库中。

STEP 4

4. 触发漏洞

当普通用户或管理员访问该被篡改的页面时，浏览器加载页面并执行注入的恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-6916
Vulnerable Parameter: sg_content_number_prefix
-->

<!--
1. Log in to WordPress as a user with Contributor privileges or higher.
2. Create or Edit a page using Elementor.
3. Search for the 'Fun Fact' widget and drag it onto the page.
4. Locate the 'Content Number Prefix' field (sg_content_number_prefix).
5. Inject the following payload:
-->

"/><script>alert('CVE-2026-6916');</script>

<!--
6. Update/Publish the page.
7. Visit the page to observe the XSS execution.
-->

影响范围

Jeg Kit for Elementor <= 3.1.0

防御指南

临时缓解措施

建议立即检查并升级Jeg Kit for Elementor插件至最新版本以修复此漏洞。若暂时无法升级，可考虑禁用该插件或编辑插件源代码，对'sg_content_number_prefix'参数的输出进行HTML实体转义（如使用esc_html函数）。此外，管理员应排查网站近期内容，清除可能已被注入的恶意脚本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表