WPBakery 页面构建器 (≤ 8.6.1) — 通过 vc_custom_heading 短代码存储的 XSS 漏洞 (CVE-2025-11161)

作者：香港安全专家 — 2025-10-15

摘要 — 已发布影响 WPBakery 页面构建器版本最高至 8.6.1 的存储型跨站脚本 (XSS) 漏洞 (CVE-2025-11161)。它允许贡献者级别的用户通过 vc_custom_heading 短代码注入持久的脚本/HTML。该问题已在 WPBakery 版本 8.7 中修复。如果您无法立即更新，设计良好的响应和内容加固或虚拟修补措施可以降低利用风险。.

介绍

如果您运营使用 WPBakery 页面构建器的 WordPress 网站，则此通知与您相关。本报告是从香港安全从业者的角度撰写的，旨在解释风险、可能影响、检测方法以及保护您网站的实际步骤。以下指导是务实的，重点是网站所有者、管理员和技术操作人员可以迅速采取的行动。.

一句话概述漏洞

• 漏洞：通过 vc_custom_heading 短代码存储的跨站脚本 (XSS)。.
• 产品：WPBakery 页面构建器 (插件)。.
• 受影响版本：≤ 8.6.1
• 修复版本：8.7
• CVE：CVE-2025-11161
• 报告的 CVSS：6.5（中等）
• 所需权限：贡献者（能够创建或编辑内容）

什么是存储型 XSS 以及为什么这很重要

跨站脚本 (XSS) 允许攻击者注入 JavaScript 或在网站访问者或管理员的浏览器中运行的活动内容。存储型（持久）XSS 意味着恶意输入保存在服务器上——例如在帖子内容、短代码或元数据中——并在查看包含有效负载的页面时执行。.

存储型 XSS 的后果可能包括：

• 会话盗窃（如果脚本可以访问 cookies 或令牌）
• 通过在经过身份验证的用户上下文中执行的自动化操作进行权限提升
• 内容篡改、恶意重定向或钓鱼/恶意软件内容的传播
• 用于广告注入、SEO污染或更广泛的网站妥协的滥用

此WPBakery问题的具体情况

公共通知指出 WPBakery Page Builder 对于 vc_custom_heading 短代码的处理允许不受信任的HTML或属性被存储并在没有适当清理的情况下渲染。贡献者级别的用户可以制作包含恶意标记或事件属性的短代码内容，而插件未能在输出之前正确清理或编码。.

• 可利用性：在受影响的网站上，贡献者级别的访问权限足够。.
• 持久性：有效载荷存储在内容中，直到被删除或清理。.
• 修复：WPBakery 8.7中的上游补丁修正了清理/渲染行为。.

需要考虑的利用场景

1. 恶意贡献者或被妥协的贡献者账户： 攻击者提交一篇包含 vc_custom_heading 恶意标记的帖子。访问该帖子的访客和工作人员执行注入的脚本。.
2. 通过社交工程妥协的编辑/管理员： 说服编辑预览内容可能会触发有效载荷。.
3. 自动扫描和大规模注入： 投机性行为者扫描WPBakery安装并注入有效载荷以获利或扩大访问权限。.
4. 主题或模板渲染： 渲染全站短代码的模板或小部件可能会使许多页面暴露于有效载荷。.

增加可能性的风险因素

• 允许外部贡献者发布而不进行严格审查。.
• 运行插件版本≤ 8.6.1。.
• 缺乏检查传入内容或传出HTML的响应控制。.
• 管理凭据弱且缺少多因素认证。.

保护您网站的立即步骤（简短清单）

1. 尽快将WPBakery页面构建器升级到8.7（或最新版本）。.
2. 如果您无法立即更新：
   • 应用内容检查措施以阻止或清理 vc_custom_heading 提交和属性中脚本样内容的前端渲染。.
   • 限制贡献者权限——要求编辑审核或禁用贡献者发布。.
   • 检查最近的帖子、修订和自定义标题，以查找意外的标记，例如
     查看我的订单

     0

     小计

     税费和运费在结账时计算

     结账