平台
wordpress
组件
premium-addons-for-elementor
修复版本
4.11.54
Premium Addons for Elementor 插件存在跨站请求伪造 (CSRF) 漏洞,允许未经身份验证的攻击者通过伪造请求创建任意 Elementor 模板。该漏洞影响 Elementor Premium Addons 插件的 0.0.0 至 4.11.53 版本。幸运的是,该漏洞已修复,用户应尽快升级至 4.11.54 版本。
此 CSRF 漏洞允许攻击者在受影响的 WordPress 站点上执行未经授权的操作,例如创建恶意 Elementor 模板。攻击者可以通过诱骗具有编辑帖子权限的管理员或用户点击恶意链接来利用此漏洞。成功利用此漏洞可能导致网站内容被篡改、恶意代码注入,甚至可能导致网站被完全控制。攻击者可以利用此漏洞创建包含恶意 JavaScript 代码的模板,从而窃取用户凭据或执行其他恶意活动。由于 Elementor 模板广泛使用,因此此漏洞的潜在影响非常大。
该漏洞已公开披露,并已发布到 NVD 数据库。目前尚未观察到大规模利用该漏洞的迹象,但由于 CSRF 漏洞的固有风险,建议尽快采取缓解措施。该漏洞的 EPSS 评分可能为中等,表明存在被利用的可能性。
WordPress websites using Premium Addons for Elementor, particularly those with multiple users having 'edit_posts' capabilities, are at risk. Shared hosting environments where users have limited control over plugin updates are also more vulnerable. Sites with legacy configurations or outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'insert_inner_template' /var/www/html/wp-content/plugins/premium-addons-for-elementor/• wordpress / composer / npm:
wp plugin list --status=all | grep 'premium-addons-for-elementor'• wordpress / composer / npm:
wp plugin update premium-addons-for-elementor --alldisclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Premium Addons for Elementor 插件升级至 4.11.54 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以禁用 Premium Addons for Elementor 插件的 'insertinnertemplate' 功能,或者实施严格的访问控制策略,以限制对 Elementor 模板的编辑权限。此外,建议实施 Web 应用防火墙 (WAF) 或反 CSRF 保护,以检测和阻止恶意请求。
更新到 4.11.54 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14163 是 Premium Addons for Elementor WordPress 插件中的跨站请求伪造 (CSRF) 漏洞,允许攻击者创建恶意 Elementor 模板。
如果您正在使用 Premium Addons for Elementor 插件的 0.0.0 至 4.11.53 版本,则您可能受到此漏洞的影响。
将 Premium Addons for Elementor 插件升级至 4.11.54 或更高版本以修复此漏洞。
目前尚未观察到大规模利用该漏洞的迹象,但建议尽快采取缓解措施。
请访问 Premium Addons for Elementor 官方网站或查看其 WordPress 插件页面以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。