該漏洞被跟蹤為 CVE-2025-24752，是一個反映的跨站點腳本 （XSS） 問題，它可能允許惡意行為者將有害腳本注入毫無戒心的用戶瀏覽器中。

Essential Addons for Elementor 是 Elementor 頁面構(gòu)建器的流行擴展包，擁有龐大的用戶群，這使得這個漏洞特別令人擔(dān)憂。 該漏洞存在于插件對 “popup-selector” 查詢參數(shù)的處理中，該參數(shù)用于觸發(fā)彈出窗口功能。

根據(jù) Patchstack 的詳細分析，該漏洞源于此查詢參數(shù)的驗證和清理不足。在補丁之前，該插件只需將下劃線符號替換為空格，然后將參數(shù)的值直接嵌入到頁面中，而無需任何進一步的檢查。這種缺乏審查的情況為攻擊者注入惡意 JavaScript 代碼創(chuàng)造了機會。

攻擊媒介的簡單性是使其如此危險的原因。通過簡單地制作惡意 URL，攻擊者可能會竊取用戶憑據(jù)，將訪問者重定向到網(wǎng)絡(luò)釣魚網(wǎng)站，甚至破壞整個網(wǎng)站。

該漏洞位于 src/js/view/general.js 文件中。在頁面加載時，插件會處理 “popup-selector” 參數(shù)，使其容易受到縱。

問題的嚴重性反映在其 CVSS 評分 7.1 中，表明存在高風(fēng)險漏洞。幸運的是，該插件的開發(fā)人員迅速做出反應(yīng)，發(fā)布了 6.0.15 版來解決該漏洞。

該補丁對 “popup-selector” 變量引入了嚴格的驗證，將其限制為字母數(shù)字字符和一組選定的安全符號。這種主動措施有效地阻止了常見的 XSS 攻擊方法。

我們強烈敦促 Elementor 的 Essential Addons 的所有用戶立即更新到 6.0.15 版。此更新對于保護您的網(wǎng)站及其用戶免受潛在攻擊至關(guān)重要。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/