CVE-2025-48078CVE-2025-48078是WordPress插件Slick Google Map中的一个高危安全漏洞,CVSS评分达到7.1。该漏洞属于跨站请求伪造(CSRF)与存储型跨站脚本(Stored XSS)的组合漏洞。攻击者可以利用CSRF技术诱使已登录的管理员用户在不知情的情况下执行恶意操作,将包含恶意JavaScript代码的数据提交到服务器。由于该数据会被存储在数据库中,当其他用户访问包含恶意内容的页面时,存储型XSS payload会自动执行,从而窃取用户会话Cookie、劫持用户账户或进行其他恶意操作。此漏洞影响插件0.3及以下所有版本,攻击复杂度低且不需要认证,但需要用户交互才能完成攻击。漏洞于2025年11月6日被Patchstack安全团队发现并披露,建议用户立即采取修复措施。
该漏洞存在于Slick Google Map插件的地图数据处理功能中。插件在接收和保存用户提交的地图配置数据时,未对输入内容进行充分的CSRF令牌验证和XSS过滤。攻击者可以构造一个恶意HTML页面,其中包含自动提交的表单,该表单模拟正常的地图配置更新请求。由于插件缺少有效的anti-CSRF机制,服务器会接受这个来自攻击者控制站点的请求。当管理员用户被诱骗访问该恶意页面时,浏览器会自动提交表单,将攻击者精心构造的包含<script>标签或事件处理器(如onerror、onload)的payload作为地图标题、描述或坐标信息保存到数据库。存储的恶意代码会在以下场景被执行:1)管理员访问插件管理后台查看地图列表;2)前端页面展示地图信息;3)任何查看包含恶意数据的页面。攻击者利用此漏洞可窃取管理员Cookie、修改网站内容或进行横向移动攻击。