CVE-2025-12369CVE-2025-12369是WordPress插件"Extensions for Leaflet Map"中的一个高危安全漏洞。该插件用于在WordPress网站上集成Leaflet地图功能,广泛应用于需要展示地理空间数据的网站。漏洞源于geojsonmarker短代码功能对用户输入的属性值缺乏充分的输入清理和输出转义处理。攻击者只需拥有WordPress网站的Contributor级别或更高权限账户,即可利用此漏洞在受影响的页面中注入恶意JavaScript脚本。由于是存储型XSS漏洞,恶意代码会被永久保存在数据库中,当其他用户访问包含恶意内容的页面时,注入的脚本会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。该漏洞影响4.7及以下所有版本,CVSS评分6.4,属于中等严重程度。漏洞于2025年11月4日由Wordfence安全团队发现并披露,建议用户立即更新到最新修复版本。
该漏洞存在于Extensions for Leaflet Map插件的geojsonmarker功能模块中,具体位置在geojsonmarker.php文件第90行附近。漏洞产生的根本原因是插件在处理短代码属性时,直接将用户提供的参数值输出到HTML页面,而没有进行适当的输入验证和输出编码。攻击者可以通过构造包含恶意JavaScript代码的属性值(如onerror、onload等事件处理器)来实现XSS攻击。由于WordPress的Contributor角色允许创建和编辑帖子内容,攻击者可以在帖子或页面中插入带有恶意payload的geojsonmarker短代码。例如:使用包含alert()函数的JavaScript代码作为marker属性值,当页面被访问时,浏览器会将其解析为可执行脚本并执行。攻击者可以利用此漏洞窃取管理员Cookie、伪造管理操作或在网站上进行钓鱼攻击。由于payload存储在数据库中,即使后续修复漏洞,已注入的恶意内容仍需手动清理。