WPBakery 页面构建器 <= 8.6.1 — 通过自定义 JS 模块存储的 XSS（CVE-2025-11160）：网站所有者现在必须做的事情

简介

一种影响 WPBakery Page Builder（版本 ≤ 8.6.1）的存储型跨站脚本（XSS）漏洞已被披露 CVE-2025-11160. 拥有有限权限的攻击者可以注入 JavaScript，随后在访问者的浏览器中执行。允许贡献者级别或类似账户创建或编辑内容的网站面临风险。.

从香港安全专家的角度来看，本报告解释了该问题的工作原理、受影响的对象以及您可以采取的实际、立即的措施：修补、配置更改、内容检测/清理，以及带有通用 WAF 指导的虚拟修补概念。.

执行摘要

• 受影响的软件：WPBakery Page Builder 插件（≤ 8.6.1）
• 漏洞：通过插件的自定义 JS 模块的存储型跨站脚本攻击（XSS）
• CVE：CVE‑2025‑11160
• 修复版本：8.7（尽可能立即升级）
• 利用所需的权限（报告）：贡献者（或同等低级编辑）
• 风险：能够创建或编辑页面构建器内容的攻击者可以存储在访问者浏览器中运行的 JavaScript 有效载荷（重定向、cookie 盗窃、会话劫持、恶意内容传播）。.
• 立即缓解措施：升级到 8.7+，限制对自定义 JS 模块的访问，搜索/清理网站内容，应用 WAF/虚拟修补规则以阻止脚本注入。.

该漏洞的工作原理（简单解释）

存储型 XSS 发生在不受信任的输入被保存并在没有适当清理或输出编码的情况下被渲染时。在这里，插件的“自定义 JS”模块允许贡献者保存 JS 内容并包含在前端的页面模板中。由于内容可能包含原始 JavaScript 或 DOM 事件属性，访问受影响页面的访客将执行攻击者提供的代码。所需的唯一权限是能够添加或编辑该自定义模块，通常可供贡献者/作者角色使用。.

为什么存储型 XSS 危险

存储型 XSS 特别严重，因为恶意代码在网站上持续存在，并为每个访问受感染页面的访客执行。典型后果包括：

• 会话 cookie 盗窃和账户接管（当 cookie 没有得到妥善保护时）
• 静默重定向到恶意域名
• SEO 垃圾邮件和未经授权的内容注入
• 基于浏览器的加密挖矿或广告欺诈
• 次级攻击和持久性（后门，特权升级）

理解影响和严重性

CVE‑2025‑11160 在 8.7 中修复。一些评估将 CVSS 评分定在 6.5 左右。数值评分是有用的，但现实世界的风险取决于上下文：

• 使用自定义 JS 的高流量页面增加了暴露风险。.
• 账户卫生差（共享密码，无 MFA）提高了被利用的可能性。.
• 包含特权用户（编辑，管理员）的访客群体可能增加影响。.

鉴于内容管理中常用贡献者/作者账户，请迅速响应。.

立即采取行动（逐步）

1. 将 WPBakery Page Builder 更新至 8.7 或更高版本。.

   这是最终修复。请尽快通过 WordPress 管理员或您的部署流程进行升级。如果立即升级不可能（兼容性测试，大规模部署），请应用以下缓解措施。.

2. 限制对“自定义 JS”功能的访问。.

   暂时撤销对允许自定义 JS 的模块的贡献者/作者访问权限。如果您使用角色管理器，请移除不受信任角色编辑页面构建模块的能力。.

3. 扫描网站以查找恶意脚本和可疑内容。.

   在帖子、页面、postmeta 和页面构建器存储的数据中搜索脚本标签和常见的 XSS 模式（以下是示例）。.

4. 应用 WAF/虚拟补丁规则。.

   实施阻止尝试注入的请求的规则

   查看我的订单

   0

   小计

   税费和运费在结账时计算

   结账