MEDIUMCVE-2026-2949CVSS 6.4

CVE-2026-2949：Xpro Addons插件 <=1.4.24 存储型XSS

Q: CVE-2026-2949 是什么 — Xpro Addons — 140+ Widgets for Elementor 中的 Cross-Site Scripting (XSS)？

XSS 是一种安全漏洞类型，允许攻击者将恶意脚本注入到其他用户查看的网站中。这些脚本可以窃取信息、重定向用户或代表他们执行操作。

Q: Xpro Addons — 140+ Widgets for Elementor 中的 CVE-2026-2949 是否会影响我？

经过身份验证意味着攻击者必须使用具有贡献者级别或更高权限的帐户登录到 WordPress 网站。

Q: 如何修复 Xpro Addons — 140+ Widgets for Elementor 中的 CVE-2026-2949？

如果您使用的是 Xpro Addons 版本 1.4.24 或更早版本，则您的网站容易受到攻击。请将插件更新到最新版本以解决此问题。

Q: CVE-2026-2949 是否正在被积极利用？

如果您怀疑您的网站已被入侵，请立即更改所有管理员密码，扫描您的网站是否存在恶意软件，并考虑从干净的备份中恢复。

Q: 在哪里可以找到 Xpro Addons — 140+ Widgets for Elementor 关于 CVE-2026-2949 的官方安全通告？

是的，您可以实施强大的密码策略、启用双因素身份验证 (2FA)、保持所有插件和主题更新，并考虑使用 Web 应用程序防火墙 (WAF)。

平台

wordpress

组件

xpro-elementor-addons

修复版本

1.4.25

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-2949是一个存储型跨站脚本（XSS）漏洞，存在于Xpro Addons — 140+ Widgets for Elementor WordPress插件中。该漏洞允许经过身份验证的攻击者（具有投稿者或更高级别的权限）通过Icon Box小部件注入任意Web脚本，这些脚本将在用户访问受影响页面时执行。受影响的版本包括1.4.24及更早版本。此漏洞已在1.4.25版本中修复。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

CVE-2026-2949 影响 WordPress 上的 Xpro Addons — 140+ Widgets for Elementor 插件，通过 Icon Box 组件在版本 1.4.24 及更早版本中公开了一个存储型跨站脚本 (XSS) 漏洞。具有贡献者级别或更高权限的经过身份验证的攻击者可以将任意 Web 脚本注入到页面中。每当用户访问注入的页面时，这些脚本将执行。这使得攻击者可能潜在地窃取敏感信息、将用户重定向到恶意网站或代表用户执行操作。CVSS 分数为 6.4，表明对拥有大量用户或处理敏感数据的网站而言，风险中等至高。

利用背景

具有经过身份验证的访问权限（贡献者级别或更高）到使用 Xpro Addons 版本 1.4.24 或更早版本的 WordPress 网站的攻击者可以利用此漏洞。攻击涉及通过 Icon Box 组件注入恶意 JavaScript 代码。该代码存储在网站的数据库中，并且每当用户访问注入了脚本的页面时，该代码都会执行。缺乏适当的输入验证和输出编码允许进行此注入。攻击成功取决于攻击者是否能够获得对 WordPress 管理面板的经过身份验证的访问权限。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 低 — 任何有效用户账户均可。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 已改变 — 攻击可以超出脆弱组件，影响其他系统。
Confidentiality: 低 — 可访问部分数据。
Integrity: 低 — 攻击者可修改部分数据，影响有限。
Availability: 无 — 无可用性影响。

受影响的软件

组件xpro-elementor-addons

供应商wordfence

影响范围修复版本

0 – 1.4.241.4.25

软件包信息

活跃安装数: 30K已知
插件评分: 4.4
需要WordPress版本: 6.0+
兼容至: 7.0
需要PHP版本: 7.4+

主页

弱点分类 (CWE)

CWE-79

时间线

已保留2026-02-21
发布日期2026-04-04
修改日期2026-04-08
EPSS 更新日期2026-04-11

缓解措施和替代方案

主要缓解措施是将 Xpro Addons 插件更新到 1.4.25 或更高版本。此更新包含防止恶意脚本注入的必要修复。此外，请检查 WordPress 页面是否存在可疑内容，尤其是那些由具有提升权限的用户编辑的页面。实施强大的密码策略并为所有管理用户启用双因素身份验证 (2FA) 可以显着降低未经授权访问的风险。定期进行安全审计也被推荐，以主动识别和解决潜在的漏洞。考虑使用 Web 应用程序防火墙 (WAF) 以添加额外的保护层。

修复方法

更新到 1.4.25 版本，或更新的已修补版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-2949 是什么 — Xpro Addons — 140+ Widgets for Elementor 中的 Cross-Site Scripting (XSS)？

XSS 是一种安全漏洞类型，允许攻击者将恶意脚本注入到其他用户查看的网站中。这些脚本可以窃取信息、重定向用户或代表他们执行操作。

Xpro Addons — 140+ Widgets for Elementor 中的 CVE-2026-2949 是否会影响我？

经过身份验证意味着攻击者必须使用具有贡献者级别或更高权限的帐户登录到 WordPress 网站。

如何修复 Xpro Addons — 140+ Widgets for Elementor 中的 CVE-2026-2949？

如果您使用的是 Xpro Addons 版本 1.4.24 或更早版本，则您的网站容易受到攻击。请将插件更新到最新版本以解决此问题。

CVE-2026-2949 是否正在被积极利用？

如果您怀疑您的网站已被入侵，请立即更改所有管理员密码，扫描您的网站是否存在恶意软件，并考虑从干净的备份中恢复。

在哪里可以找到 Xpro Addons — 140+ Widgets for Elementor 关于 CVE-2026-2949 的官方安全通告？

是的，您可以实施强大的密码策略、启用双因素身份验证 (2FA)、保持所有插件和主题更新，并考虑使用 Web 应用程序防火墙 (WAF)。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE