在广泛使用的 WordPress 插件 Elementor Essential Addons 中发现了一个严重的安全漏洞，这使得超过两百万个网站面临风险。该漏洞被追踪为 CVE-2025-24752，是一个反射型跨站脚本（XSS）问题，这可能会让恶意行为者将有害脚本注入到毫无防备的用户浏览器中。

Elementor Essential Addons 是 Elementor 页面构建器的一个流行扩展包，拥有庞大的用户基础，这使得该漏洞格外令人担忧。该漏洞存在于该插件对 “popup-selector”查询参数的处理中，这个参数是用于触发弹出功能的。

根据 Patchstack 的详细分析，该漏洞源于对这个查询参数的验证和清理不足。在打补丁之前，该插件只是简单地将下划线符号替换为空格，然后直接将参数的值嵌入到页面中，而没有进行任何进一步的检查。这种缺乏严格审查的情况为攻击者注入恶意 JavaScript 代码创造了机会。

这种攻击方式的简单性正是其危险之处。攻击者只需构造一个恶意 URL，就有可能窃取用户凭证、将访问者重定向到钓鱼网站，甚至篡改整个网站的页面。

该漏洞位于 src/js/view/general.js 文件中。在页面加载时，该插件会处理 “popup-selector” 参数，使其容易受到操纵。

这个问题的严重性体现在其 7.1 的通用漏洞评分系统（CVSS）分数上，表明这是一个高风险漏洞。幸运的是，该插件的开发者迅速做出了回应，发布了 6.0.15 版本来修复这个漏洞。

该补丁对 “popup-selector” 变量引入了严格的验证机制，将其限制为字母数字字符以及一组选定的安全符号。这一积极主动的措施有效地阻止了常见的跨站脚本攻击方法。

我们强烈敦促所有使用 Elementor Essential Addons 插件的用户立即更新到 6.0.15 版本。这次更新对于保护您的网站及其用户免受潜在攻击至关重要。