大规模WordPress插件漏洞使数百万人遭受XSS攻击

声明：该文章由作者（YoShiE 冰块）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

该漏洞被跟踪为 CVE-2025-24752，是一个反映的跨站点脚本 （XSS） 问题，它可能允许恶意行为者将有害脚本注入毫无戒心的用户浏览器中。

Essential Addons for Elementor 是 Elementor 页面构建器的流行扩展包，拥有庞大的用户群，这使得这个漏洞特别令人担忧。 该漏洞存在于插件对 “popup-selector” 查询参数的处理中，该参数用于触发弹出窗口功能。

根据 Patchstack 的详细分析，该漏洞源于此查询参数的验证和清理不足。在补丁之前，该插件只需将下划线符号替换为空格，然后将参数的值直接嵌入到页面中，而无需任何进一步的检查。这种缺乏审查的情况为攻击者注入恶意 JavaScript 代码创造了机会。

攻击媒介的简单性是使其如此危险的原因。通过简单地制作恶意 URL，攻击者可能会窃取用户凭据，将访问者重定向到网络钓鱼网站，甚至破坏整个网站。

该漏洞位于 src/js/view/general.js 文件中。在页面加载时，插件会处理 “popup-selector” 参数，使其容易受到纵。

问题的严重性反映在其 CVSS 评分 7.1 中，表明存在高风险漏洞。幸运的是，该插件的开发人员迅速做出反应，发布了 6.0.15 版来解决该漏洞。

该补丁对 “popup-selector” 变量引入了严格的验证，将其限制为字母数字字符和一组选定的安全符号。这种主动措施有效地阻止了常见的 XSS 攻击方法。

我们强烈敦促 Elementor 的 Essential Addons 的所有用户立即更新到 6.0.15 版。此更新对于保护您的网站及其用户免受潜在攻击至关重要。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/