| 插件名稱 | 皇家 Elementor 附加元件 |
|---|---|
| 漏洞類型 | XSS |
| CVE 編號 | CVE-2024-12120 |
| 緊急程度 | 中等 |
| CVE 發布日期 | 2026-02-03 |
| 來源 URL | CVE-2024-12120 |
重要指導 — CVE-2024-12120:在 Royal Elementor Addons 中的經過身份驗證(貢獻者)存儲型 XSS(<= 1.7.1017)
作者: 香港安全專家
日期: 2026-02-03
Summary: A stored Cross-Site Scripting (XSS) vulnerability (CVE-2024-12120) was disclosed in the Royal Elementor Addons & Templates plugin affecting versions ≤ 1.7.1017. An authenticated user with Contributor-level privileges can inject stored JavaScript that may execute in the browser of higher-privileged users or site visitors. This post explains the technical details, real-world risk, detection steps, and practical mitigation strategies you can apply immediately from the perspective of a Hong Kong security practitioner.
TL;DR — 快速事實
- 漏洞:存儲型跨站腳本 (XSS)
- CVE: CVE-2024-12120
- Affected software: Royal Elementor Addons & Templates plugin ≤ 1.7.1017
- 修復版本:1.7.1018(立即升級)
- 所需攻擊者權限:經過身份驗證的貢獻者(或更高,根據網站配置)
- 利用向量:攻擊者將有效載荷存儲在插件控制的字段中;當特權用戶或訪問者查看存儲的內容時,腳本執行
- 風險:中等(報告的 CVSS 約為 6.5) — 攻擊者可以運行瀏覽器端 JavaScript,導致會話盜竊、內容注入或持久性
- 立即緩解措施:更新插件,移除/限制貢獻者帳戶,在請求檢查級別應用虛擬補丁,掃描注入的內容
為什麼這很重要(現實影響)
存儲型 XSS 是最危險的客戶端漏洞之一。當任意 JavaScript 被保存到數據庫並在另一用戶的瀏覽器中執行時,攻擊者可以:
- 盜取管理員的 cookies 或會話令牌,並嘗試完全接管網站。.
- 代表特權用戶在瀏覽器中執行操作(更改設置、安裝插件、發布內容)。.
- 注入持久的惡意內容(重定向、不需要的廣告或基於 DOM 的後門)。.
- 創建能夠在文件掃描中存活的持久性,因為有效載荷存在於數據庫中。.
- 與其他弱點結合以擴大影響或竊取數據。.
因為這個漏洞可以被貢獻者級別的帳戶觸發——這是一個經常用於作者和內容提交者的角色——接受用戶提交內容的網站特別容易受到威脅。.
技術概述:漏洞如何運作
這是一個經典的存儲型 XSS,因為插件 UI 或渲染邏輯中的輸入驗證不足和缺乏輸出轉義。在實際操作中:
