3.30.3
CVE-2025-4566是一个存储型跨站脚本(XSS)漏洞,存在于WordPress的Elementor Website Builder插件中。该漏洞允许具有投稿者或更高级别权限的已认证攻击者,通过Text Path小部件中的data-text DOM元素属性注入任意Web脚本,当用户访问被注入的页面时,脚本将在Chrome/Edge浏览器中执行。受影响的版本包括3.30.2及更早版本。目前尚无官方补丁发布。
Elementor 网站构建器插件的 CVE-2025-4566 漏洞影响到 3.30.2 及更早版本,允许进行存储型跨站脚本攻击 (XSS)。具有贡献者级别或更高权限的经过身份验证的攻击者可以通过“Text Path”小部件的“data-text”属性注入恶意 JavaScript 代码。每当用户访问注入的页面时,此代码将执行。主要影响是潜在的身份盗窃、会话 cookie 窃取、重定向到恶意网站或修改页面内容,从而危及网站的安全性和完整性。 CVSS 评分是 6.4,表明中高风险。
具有使用 Elementor 的网站的贡献者或更高权限的攻击者可以利用此漏洞。攻击者将恶意 JavaScript 代码注入到“Text Path”小部件的“data-text”属性中。此代码存储在网站的数据库中,并且每当用户访问包含受损小部件的页面时都会执行。恶意代码的执行允许攻击者代表用户执行操作,例如窃取敏感信息或修改网站内容。Elementor 的广泛采用以及注入恶意代码的相对简单性增加了漏洞利用的便利性。
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
立即采取的措施是将 Elementor 插件更新到 3.30.3 或更高版本。此更新通过在“Text Path”小部件中实施适当的输入清理和输出转义来修复漏洞。此外,请检查现有页面是否存在潜在的恶意代码注入,尤其是那些由具有贡献者或更高权限的用户创建或编辑的页面。实施内容安全策略 (CSP) 可以帮助减轻 XSS 攻击的影响,即使该漏洞尚未立即修复。监控服务器日志以查找可疑活动也是一种良好的安全实践。
Actualice el plugin Elementor a la versión 3.30.3 o superior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar. Esta actualización aborda la falta de sanitización y escape de salida que permitía la inyección de scripts maliciosos.
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本)是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。
如果您使用 Elementor 并且具有 3.30.2 或更早版本,则很可能受到影响。请检查具有贡献者权限或更高权限的用户创建的页面是否存在可疑代码。
WordPress 中的贡献者是具有有限权限以发布和编辑内容的的用户角色。
是的,更新到 3.30.3 或更高版本是主要解决方案。但是,也建议检查现有页面是否存在潜在的注入。
CSP 是一种安全机制,允许网站管理员控制浏览器允许加载的资源,从而有助于防止 XSS 攻击。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。