| 插件名称 | 皇家Elementor插件 |
|---|---|
| 漏洞类型 | XSS |
| CVE 编号 | CVE-2024-12120 |
| 紧急程度 | 中等 |
| CVE 发布日期 | 2026-02-03 |
| 来源网址 | CVE-2024-12120 |
关键指导 — CVE-2024-12120:在 Royal Elementor Addons 中的经过身份验证(贡献者)存储型 XSS(<= 1.7.1017)
作者: 香港安全专家
日期: 2026-02-03
Summary: A stored Cross-Site Scripting (XSS) vulnerability (CVE-2024-12120) was disclosed in the Royal Elementor Addons & Templates plugin affecting versions ≤ 1.7.1017. An authenticated user with Contributor-level privileges can inject stored JavaScript that may execute in the browser of higher-privileged users or site visitors. This post explains the technical details, real-world risk, detection steps, and practical mitigation strategies you can apply immediately from the perspective of a Hong Kong security practitioner.
TL;DR — 快速事实
- 漏洞:存储型跨站脚本攻击 (XSS)
- CVE: CVE-2024-12120
- Affected software: Royal Elementor Addons & Templates plugin ≤ 1.7.1017
- 修复版本:1.7.1018(立即升级)
- 所需攻击者权限:经过身份验证的贡献者(或更高,具体取决于网站配置)
- 利用向量:攻击者在插件控制的字段中存储有效负载;当特权用户或访问者查看存储内容时,脚本执行
- 风险:中等(报告的 CVSS ~6.5) — 攻击者可以运行浏览器端 JavaScript,导致会话盗窃、内容注入或持久性
- 立即缓解措施:更新插件,移除/限制贡献者账户,在请求检查级别应用虚拟补丁,扫描注入内容
这很重要的原因(现实世界影响)
存储型 XSS 是最危险的客户端漏洞之一。当任意 JavaScript 被保存到数据库并在另一个用户的浏览器中执行时,攻击者可以:
- 盗取管理员的 cookies 或会话令牌,并尝试完全接管网站。.
- 代表特权用户在浏览器中执行操作(更改设置、安装插件、发布内容)。.
- 注入持久的恶意内容(重定向、不需要的广告或基于 DOM 的后门)。.
- 创建在文件扫描中仍然存在的持久性,因为有效负载存储在数据库中。.
- 与其他弱点结合以升级影响或外泄数据。.
因为这个漏洞可以被贡献者级别的账户触发——这个角色通常用于作者和内容提交者——接受用户提交内容的网站特别容易受到攻击。.
技术概述:漏洞如何工作
这是一个经典的存储型 XSS,由于插件 UI 或渲染逻辑中的输入验证不足和缺乏输出转义而导致。从实际角度来看:
