聲明：該文章由作者（YoShiE 冰塊）發(fā)表，轉載此文章須經作者同意并請附上出處(0XUCN)及本頁鏈接。。

該漏洞被跟蹤為 CVE-2025-24752，是一個反映的跨站點腳本 （XSS） 問題，它可能允許惡意行為者將有害腳本注入毫無戒心的用戶瀏覽器中。

Essential Addons for Elementor 是 Elementor 頁面構建器的流行擴展包，擁有龐大的用戶群，這使得這個漏洞特別令人擔憂。 該漏洞存在于插件對 “popup-selector” 查詢參數的處理中，該參數用于觸發(fā)彈出窗口功能。

根據 Patchstack 的詳細分析，該漏洞源于此查詢參數的驗證和清理不足。在補丁之前，該插件只需將下劃線符號替換為空格，然后將參數的值直接嵌入到頁面中，而無需任何進一步的檢查。這種缺乏審查的情況為攻擊者注入惡意 JavaScript 代碼創(chuàng)造了機會。

攻擊媒介的簡單性是使其如此危險的原因。通過簡單地制作惡意 URL，攻擊者可能會竊取用戶憑據，將訪問者重定向到網絡釣魚網站，甚至破壞整個網站。

該漏洞位于 src/js/view/general.js 文件中。在頁面加載時，插件會處理 “popup-selector” 參數，使其容易受到縱。

問題的嚴重性反映在其 CVSS 評分 7.1 中，表明存在高風險漏洞。幸運的是，該插件的開發(fā)人員迅速做出反應，發(fā)布了 6.0.15 版來解決該漏洞。

該補丁對 “popup-selector” 變量引入了嚴格的驗證，將其限制為字母數字字符和一組選定的安全符號。這種主動措施有效地阻止了常見的 XSS 攻擊方法。

我們強烈敦促 Elementor 的 Essential Addons 的所有用戶立即更新到 6.0.15 版。此更新對于保護您的網站及其用戶免受潛在攻擊至關重要。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/