1. WPBakery Page Builder (≤ 8.6.1) — 透過 vc_custom_heading 短碼的儲存型 XSS (CVE-2025-11161)

2. 作者：香港安全專家 — 2025-10-15

3. 摘要 — 已發布影響 WPBakery Page Builder 版本至 8.6.1 的儲存型跨站腳本 (XSS) 漏洞 (CVE-2025-11161)。它允許貢獻者級別的用戶通過 vc_custom_heading 4. 短碼注入持久性腳本/HTML。該問題已在 WPBakery 版本 8.7 中修復。如果您無法立即更新，設計良好的響應和內容加固或虛擬修補措施可以減輕利用風險。.

介紹

5. 如果您運營使用 WPBakery Page Builder 的 WordPress 網站，則此建議與您相關。本報告是從一位香港安全從業者的角度撰寫的，旨在解釋風險、可能影響、檢測方法以及保護您網站的實際步驟。以下指導是務實的，專注於網站所有者、管理員和技術操作員可以迅速採取的行動。.

6. 漏洞簡述

• 7. 漏洞：透過短碼的儲存型跨站腳本 (XSS)。 vc_custom_heading 8. 產品：WPBakery Page Builder (插件)。.
• 9. 受影響版本：≤ 8.6.1.
• 10. CVE：CVE-2025-11161
• 修復於：8.7
• 11. 報告的 CVSS：6.5 (中等)
• 12. 所需權限：貢獻者（能夠創建或編輯內容）
• 13. 什麼是儲存型 XSS 以及為什麼這很重要

14. 跨站腳本 (XSS) 允許攻擊者注入 JavaScript 或在網站訪問者或管理員的瀏覽器中運行的主動內容。儲存型 (持久性) XSS 意味著惡意輸入被保存在伺服器上——例如在文章內容、短碼或元數據中——並在查看包含有效負載的頁面時執行。

15. 儲存型 XSS 的後果可能包括：.

16. 會話盜竊（如果 cookies 或令牌可被腳本訪問）

• 17. 通過在經過身份驗證的用戶上下文中執行的自動化操作進行權限提升
• 18. 內容破壞、惡意重定向或釣魚/惡意軟件內容的傳遞
• 19. 用於廣告注入、SEO 毒化或更廣泛的網站妥協
• 用於廣告注入、SEO 毒害或更廣泛的網站妥協的濫用

此 WPBakery 問題的具體情況

公共公告指出 WPBakery Page Builder 對於 vc_custom_heading 短代碼允許不受信任的 HTML 或屬性被存儲並在未經充分清理的情況下渲染。一個貢獻者級別的用戶可以製作包含惡意標記或事件屬性的短代碼內容，而該插件未能在輸出之前正確清理或編碼。.

• 可利用性：在受影響的網站上，貢獻者級別的訪問權限已足夠。.
• 持久性：有效載荷存儲在內容中，並在被移除或清理之前保持不變。.
• 修復：WPBakery 8.7 中的上游補丁修正了清理/渲染行為。.

需要考慮的利用場景

1. 惡意貢獻者或被攻擊的貢獻者帳戶： 攻擊者提交一篇包含 vc_custom_heading 惡意標記的帖子。訪問該帖子的訪客和工作人員執行注入的腳本。.
2. 通過社會工程學攻擊的編輯/管理員： 說服編輯預覽內容可能會觸發有效載荷。.
3. 自動掃描和大規模注入： 機會主義者掃描 WPBakery 安裝並注入有效載荷以獲利或擴大訪問。.
4. 主題或模板渲染： 渲染全站短代碼的模板或小部件可能會使許多頁面暴露於有效載荷中。.

增加可能性的風險因素

• 允許外部貢獻者發布而不進行嚴格審查。.
• 運行插件版本 ≤ 8.6.1。.
• 缺乏檢查傳入內容或傳出 HTML 的響應控制。.
• 薄弱的管理憑證和缺失的多因素身份驗證。.

保護您的網站的立即步驟（簡短檢查清單）

1. 儘快將 WPBakery Page Builder 升級到 8.7（或最新版本）。.
2. 如果您無法立即更新：
   • 應用內容檢查措施以阻止或清理 vc_custom_heading 提交和屬性中的類似腳本內容的前端渲染。.
   • 限制貢獻者的能力 — 需要編輯審核或禁用貢獻者發佈。.
   • 檢查最近的帖子、修訂和自定義標題，以查找意外的標記，例如
     查看我的訂單

     0

     小計

     稅金和運費在結帳時計算

     結帳