平台
wordpress
组件
elementor
修复版本
3.33.4
CVE-2025-11220 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Text Path widget in the Elementor Website Builder WordPress plugin. This flaw allows authenticated attackers with contributor-level access or higher to inject malicious web scripts into pages. These scripts execute when a user accesses the compromised page. This affects Elementor versions up to and including 3.33.3. The vulnerability is fixed in version 3.33.4.
Elementor插件的CVE-2025-11220漏洞影响到3.33.3及更早版本。它允许通过插件的“文本路径”小部件进行存储型跨站脚本攻击(XSS)。具有贡献者级别访问权限或更高权限的攻击者可以在网页中注入恶意JavaScript代码。每当用户访问受损页面时,此代码将执行,从而可能导致敏感信息被盗、身份伪造或重定向到恶意网站。对于拥有大量用户和用户生成内容的网站,风险尤其重大。
攻击需要攻击者拥有具有贡献者或更高权限级别的WordPress网站的身份验证访问权限。攻击者可以通过页面上的“文本路径”小部件注入恶意JavaScript代码。一旦页面保存并由其他用户查看,脚本将在他们的浏览器中执行。此漏洞在于生成SVG代码时缺乏对用户输入的适当验证和转义,从而允许注入<script>标签或onload属性,从而可以执行任意代码。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
CVSS 向量
推荐的解决方案是立即将Elementor插件更新到3.33.4或更高版本。此版本包含一项修复程序,可以正确地消除用于构建“文本路径”小部件中SVG标记的来自用户输入的输入,从而防止恶意脚本的执行。在此期间,作为预防措施,请限制具有贡献者级别权限或更高权限的用户对编辑的访问,从而限制注入潜在有害内容的可能性。定期备份网站也是减轻任何攻击影响的一种良好实践。
更新到 3.33.4 版本,或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本)是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。
在WordPress中,贡献者级别是一种用户角色,允许编辑帖子和页面,但不允许管理整个网站。
您可以通过转到WordPress管理面板中的“插件”并在此列表中查找“Elementor”来检查您的Elementor版本。
如果您怀疑您的网站已被破坏,您应该更改所有密码、扫描网站是否存在恶意软件,并恢复干净的备份。
保持WordPress、所有插件和主题的最新状态、使用强密码以及启用Web应用程序防火墙(WAF)非常重要。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。