| 插件名称 | 皇家Elementor插件 |
|---|---|
| 漏洞类型 | XSS |
| CVE 编号 | CVE-2024-12120 |
| 紧急程度 | 中等 |
| CVE 发布日期 | 2026-02-03 |
| 来源网址 | CVE-2024-12120 |
关键指导 — CVE-2024-12120:在 Royal Elementor Addons 中的经过身份验证(贡献者)存储型 XSS(<= 1.7.1017)
作者: 香港安全专家
日期: 2026-02-03
摘要:在Royal Elementor Addons & Templates插件中披露了一个存储型跨站脚本(XSS)漏洞(CVE-2024-12120),影响版本≤ 1.7.1017。具有贡献者级别权限的认证用户可以注入存储的JavaScript,这可能在更高权限用户或网站访客的浏览器中执行。本文从香港安全从业者的角度解释了技术细节、现实风险、检测步骤和可以立即应用的实际缓解策略。.
TL;DR — 快速事实
- 漏洞:存储型跨站脚本攻击 (XSS)
- CVE: CVE-2024-12120
- 受影响的软件:Royal Elementor Addons & Templates插件 ≤ 1.7.1017
- 修复版本:1.7.1018(立即升级)
- 所需攻击者权限:经过身份验证的贡献者(或更高,具体取决于网站配置)
- 利用向量:攻击者在插件控制的字段中存储有效负载;当特权用户或访问者查看存储内容时,脚本执行
- 风险:中等(报告的 CVSS ~6.5) — 攻击者可以运行浏览器端 JavaScript,导致会话盗窃、内容注入或持久性
- 立即缓解措施:更新插件,移除/限制贡献者账户,在请求检查级别应用虚拟补丁,扫描注入内容
这很重要的原因(现实世界影响)
存储型 XSS 是最危险的客户端漏洞之一。当任意 JavaScript 被保存到数据库并在另一个用户的浏览器中执行时,攻击者可以:
- 盗取管理员的 cookies 或会话令牌,并尝试完全接管网站。.
- 代表特权用户在浏览器中执行操作(更改设置、安装插件、发布内容)。.
- 注入持久的恶意内容(重定向、不需要的广告或基于 DOM 的后门)。.
- 创建在文件扫描中仍然存在的持久性,因为有效负载存储在数据库中。.
- 与其他弱点结合以升级影响或外泄数据。.
因为这个漏洞可以被贡献者级别的账户触发——这个角色通常用于作者和内容提交者——接受用户提交内容的网站特别容易受到攻击。.
技术概述:漏洞如何工作
这是一个经典的存储型 XSS,由于插件 UI 或渲染逻辑中的输入验证不足和缺乏输出转义而导致。从实际角度来看:
