CVE-2025-15345WordPress MapGeo插件在1.6.27及之前的版本中存在安全漏洞。该漏洞源于'display-map'短代码中的'map'参数缺乏足够的输入清理和输出转义。未经身份验证的攻击者可以利用此漏洞实施反射型跨站脚本攻击(XSS)。攻击者需要诱导用户点击特制链接,一旦用户访问,恶意脚本将在其浏览器中执行。这可能导致窃取用户会话Cookie、重定向到恶意网站或执行其他恶意操作,影响用户数据的机密性和完整性。
该漏洞位于MapGeo插件的短代码处理逻辑中。具体而言,插件在解析`display-map`短代码时,直接获取`map`参数的值并将其嵌入到页面的HTML响应中,而未对该参数进行严格的输入验证和上下文相关的输出转义。由于缺乏安全过滤,攻击者可以构造包含恶意JavaScript代码的URL作为`map`参数的值。当服务器处理请求时,恶意代码会被反射到响应页面中。由于攻击向量(AV:N)为网络,且不需要认证(PR:N),攻击者只需通过网络发送包含恶意载荷的链接给目标用户。一旦受害者点击链接,浏览器解析响应页面并执行其中的恶意脚本。由于作用域涉及(S:C),该脚本可能影响同源下的其他页面上下文。利用此漏洞,攻击者可以窃取受害者的会话令牌、修改页面内容或进行钓鱼攻击。