平台
wordpress
组件
xpro-elementor-addons
修复版本
1.4.25
CVE-2026-2949是一个存储型跨站脚本(XSS)漏洞,存在于Xpro Addons — 140+ Widgets for Elementor WordPress插件中。该漏洞允许经过身份验证的攻击者(具有投稿者或更高级别的权限)通过Icon Box小部件注入任意Web脚本,这些脚本将在用户访问受影响页面时执行。受影响的版本包括1.4.24及更早版本。此漏洞已在1.4.25版本中修复。
CVE-2026-2949 影响 WordPress 上的 Xpro Addons — 140+ Widgets for Elementor 插件,通过 Icon Box 组件在版本 1.4.24 及更早版本中公开了一个存储型跨站脚本 (XSS) 漏洞。具有贡献者级别或更高权限的经过身份验证的攻击者可以将任意 Web 脚本注入到页面中。每当用户访问注入的页面时,这些脚本将执行。这使得攻击者可能潜在地窃取敏感信息、将用户重定向到恶意网站或代表用户执行操作。CVSS 分数为 6.4,表明对拥有大量用户或处理敏感数据的网站而言,风险中等至高。
具有经过身份验证的访问权限(贡献者级别或更高)到使用 Xpro Addons 版本 1.4.24 或更早版本的 WordPress 网站的攻击者可以利用此漏洞。攻击涉及通过 Icon Box 组件注入恶意 JavaScript 代码。该代码存储在网站的数据库中,并且每当用户访问注入了脚本的页面时,该代码都会执行。缺乏适当的输入验证和输出编码允许进行此注入。攻击成功取决于攻击者是否能够获得对 WordPress 管理面板的经过身份验证的访问权限。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
主要缓解措施是将 Xpro Addons 插件更新到 1.4.25 或更高版本。此更新包含防止恶意脚本注入的必要修复。此外,请检查 WordPress 页面是否存在可疑内容,尤其是那些由具有提升权限的用户编辑的页面。实施强大的密码策略并为所有管理用户启用双因素身份验证 (2FA) 可以显着降低未经授权访问的风险。定期进行安全审计也被推荐,以主动识别和解决潜在的漏洞。考虑使用 Web 应用程序防火墙 (WAF) 以添加额外的保护层。
更新到 1.4.25 版本,或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
XSS 是一种安全漏洞类型,允许攻击者将恶意脚本注入到其他用户查看的网站中。这些脚本可以窃取信息、重定向用户或代表他们执行操作。
经过身份验证意味着攻击者必须使用具有贡献者级别或更高权限的帐户登录到 WordPress 网站。
如果您使用的是 Xpro Addons 版本 1.4.24 或更早版本,则您的网站容易受到攻击。请将插件更新到最新版本以解决此问题。
如果您怀疑您的网站已被入侵,请立即更改所有管理员密码,扫描您的网站是否存在恶意软件,并考虑从干净的备份中恢复。
是的,您可以实施强大的密码策略、启用双因素身份验证 (2FA)、保持所有插件和主题更新,并考虑使用 Web 应用程序防火墙 (WAF)。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。