深入解析CVE-2025-13850：WordPress LS Google Map Router插件的存储型XSS漏洞

CVE-2025-13850：ladislavsoukupgmailcom LS Google Map Router 中 CWE-79 网页生成期间输入净化不当（‘跨站脚本’）

严重性： 中等 类型： 漏洞

CVE-2025-13850

CVE-2025-13850 是 LS Google Map Router WordPress 插件中的一个存储型跨站脚本漏洞，影响所有 1.1.0 及之前版本。拥有投稿者或更高级别访问权限的认证用户可以通过 map_type 参数注入恶意脚本来利用此漏洞。每当任何用户查看被篡改的页面时，这些脚本都会执行，可能导致会话劫持、网站篡改或进一步的攻击。该漏洞源于输入净化和输出转义不当。其 CVSS 3.1 评分为 6.4（中等严重性），表明其具有中等风险、网络攻击途径和低攻击复杂度。目前尚未知公开的利用方式。

AI 分析

技术摘要

CVE-2025-13850 是在 WordPress 的 LS Google Map Router 插件中发现的一个存储型跨站脚本漏洞，影响包括 1.1.0 在内的所有先前版本。该漏洞源于网页生成期间对 map_type 参数的用户输入净化和转义不足。拥有认证的投稿者或更高级别权限的攻击者可以利用此参数向页面注入任意的 JavaScript 代码。当其他用户访问这些页面时，注入的脚本会在他们的浏览器中执行，可能泄露会话令牌、重定向用户或以受害者身份执行操作。该漏洞归类于 CWE-79，表明网页生成期间输入净化不当。CVSS 3.1 基础评分为 6.4，反映了中等严重性，具有网络攻击途径、低攻击复杂度、需要权限（PR:L）、无需用户交互且存在范围变更。尽管目前尚未出现已知的野外利用，但该漏洞对使用此插件的 WordPress 站点构成重大风险，特别是那些允许多个投稿者的站点。报告时缺乏可用的补丁，需要立即关注以降低风险。该漏洞的利用可能导致部分机密性和完整性损失，但不影响可用性。鉴于 WordPress 在欧洲的流行度，此漏洞可能影响许多依赖此插件实现地图路由功能的组织。

潜在影响

对于欧洲组织而言，CVE-2025-13850 的利用可能导致在其 WordPress 站点内执行未经授权的脚本，可能造成会话劫持、数据窃取、网站篡改或以合法用户身份执行未授权操作。这会损害组织声誉，导致涉及用户信息的数据泄露，并扰乱依赖网络存在的业务运营。由于该漏洞需要认证的投稿者级别访问权限，内部威胁或被入侵账户构成重大风险。拥有协作内容管理环境的组织尤其脆弱。中等严重性评分表明风险适中；然而，范围变更意味着该漏洞可能影响超出初始易受攻击插件的组件，可能波及其他站点功能。鉴于 WordPress 在欧洲的广泛使用，特别是在中小企业和公共部门网站中，如果大规模利用，该威胁可能产生广泛影响。目前缺乏已知的利用方式为主动缓解提供了时间窗口，但由于一旦获得访问权限后易于利用，风险仍然显著。

缓解建议

欧洲组织应立即审核其 WordPress 安装，以确定是否存在 LS Google Map Router 插件并验证其版本。由于目前没有官方补丁可用，组织应考虑暂时禁用或移除该插件以消除攻击途径。将投稿者级别的访问权限严格限制于可信用户，并执行强身份验证机制（包括多因素认证）以降低账户被盗风险。实施带有自定义规则的 Web 应用防火墙来检测和阻止针对 map_type 参数的恶意负载。定期监控与插件使用和用户输入相关的可疑活动日志。教育内容投稿者关于注入不受信任内容的风险，并执行严格的内容验证策略。一旦发布补丁，应优先立即部署。此外，考虑采用内容安全策略头来限制潜在脚本注入的影响。定期进行安全评估和漏洞扫描，重点关注 WordPress 插件，以主动检测类似问题。

受影响国家 德国、英国、法国、意大利、西班牙、荷兰、波兰、瑞典、比利时、奥地利

CVE-2025-13850：ladislavsoukupgmailcom LS Google Map Router 中 CWE-79 网页生成期间输入净化不当（‘跨站脚本’）

严重性： 中等 类型： 漏洞

CVE： CVE-2025-13850

技术摘要

潜在影响

缓解建议

受影响国家 德国、英国、法国、意大利、西班牙、荷兰、波兰、瑞典、比利时、奥地利

来源： CVE 数据库 V5 发布日期： 2025年12月12日星期五

CVE-2025-13850：ladislavsoukupgmailcom LS Google Map Router 中 CWE-79 网页生成期间输入净化不当（‘跨站脚本’）

▲0▼收藏中等漏洞

CVE-2025-13850 cve cve-2025-13850 cwe-79

发布日期： 2025年12月12日星期五 (2025年12月12日，03:21:00 UTC) 来源： CVE 数据库 V5 供应商/项目： ladislavsoukupgmailcom 产品： LS Google Map Router

描述 CVE-2025-13850 是 LS Google Map Router WordPress 插件中的一个存储型跨站脚本漏洞，影响所有 1.1.0 及之前版本。拥有投稿者或更高级别访问权限的认证用户可以通过 map_type 参数注入恶意脚本来利用此漏洞。每当任何用户查看被篡改的页面时，这些脚本都会执行，可能导致会话劫持、网站篡改或进一步的攻击。该漏洞源于输入净化和输出转义不当。其 CVSS 3.1 评分为 6.4（中等严重性），表明其具有中等风险、网络攻击途径和低攻击复杂度。目前尚未知公开的利用方式。

AI 驱动分析

AI 最后更新： 2025年12月12日，04:11:28 UTC

技术分析 CVE-2025-13850 是在 WordPress 的 LS Google Map Router 插件中发现的一个存储型跨站脚本漏洞，影响包括 1.1.0 在内的所有先前版本。该漏洞源于网页生成期间对 map_type 参数的用户输入净化和转义不足。拥有认证的投稿者或更高级别权限的攻击者可以利用此参数向页面注入任意的 JavaScript 代码。当其他用户访问这些页面时，注入的脚本会在他们的浏览器中执行，可能泄露会话令牌、重定向用户或以受害者身份执行操作。该漏洞归类于 CWE-79，表明网页生成期间输入净化不当。CVSS 3.1 基础评分为 6.4，反映了中等严重性，具有网络攻击途径、低攻击复杂度、需要权限（PR:L）、无需用户交互且存在范围变更。尽管目前尚未出现已知的野外利用，但该漏洞对使用此插件的 WordPress 站点构成重大风险，特别是那些允许多个投稿者的站点。报告时缺乏可用的补丁，需要立即关注以降低风险。该漏洞的利用可能导致部分机密性和完整性损失，但不影响可用性。鉴于 WordPress 在欧洲的流行度，此漏洞可能影响许多依赖此插件实现地图路由功能的组织。

潜在影响 对于欧洲组织而言，CVE-2025-13850 的利用可能导致在其 WordPress 站点内执行未经授权的脚本，可能造成会话劫持、数据窃取、网站篡改或以合法用户身份执行未授权操作。这会损害组织声誉，导致涉及用户信息的数据泄露，并扰乱依赖网络存在的业务运营。由于该漏洞需要认证的投稿者级别访问权限，内部威胁或被入侵账户构成重大风险。拥有协作内容管理环境的组织尤其脆弱。中等严重性评分表明风险适中；然而，范围变更意味着该漏洞可能影响超出初始易受攻击插件的组件，可能波及其他站点功能。鉴于 WordPress 在欧洲的广泛使用，特别是在中小企业和公共部门网站中，如果大规模利用，该威胁可能产生广泛影响。目前缺乏已知的利用方式为主动缓解提供了时间窗口，但由于一旦获得访问权限后易于利用，风险仍然显著。

缓解建议 欧洲组织应立即审核其 WordPress 安装，以确定是否存在 LS Google Map Router 插件并验证其版本。由于目前没有官方补丁可用，组织应考虑暂时禁用或移除该插件以消除攻击途径。将投稿者级别的访问权限严格限制于可信用户，并执行强身份验证机制（包括多因素认证）以降低账户被盗风险。实施带有自定义规则的 Web 应用防火墙来检测和阻止针对 map_type 参数的恶意负载。定期监控与插件使用和用户输入相关的可疑活动日志。教育内容投稿者关于注入不受信任内容的风险，并执行严格的内容验证策略。一旦发布补丁，应优先立即部署。此外，考虑采用内容安全策略头来限制潜在脚本注入的影响。定期进行安全评估和漏洞扫描，重点关注 WordPress 插件，以主动检测类似问题。

受影响国家 德国英国法国意大利西班牙荷兰波兰瑞典比利时奥地利

需要更详细的分析？ 获取专业版

专业功能 要访问高级分析和更高的速率限制，请联系 root@offseq.com

技术详情 数据版本 5.2 分配者简称 Wordfence 日期保留 2025-12-01T19:55:39.821Z Cvss 版本 3.1 状态已发布 威胁 ID： 693b9183650da22753edbb41 添加到数据库： 2025年12月12日，上午3:52:35 最后丰富： 2025年12月12日，上午4:11:28 最后更新： 2025年12月12日，上午4:19:07 浏览次数： 2

社区评论 0 条评论众包缓解策略，分享情报背景，并为最有帮助的回复投票。登录添加您的声音，帮助防御者保持领先。 排序方式： 热门最新最旧 撰写评论

社区提示 ▼ 正在加载社区见解… 想要贡献缓解步骤或威胁情报背景？登录或创建帐户以加入社区讨论。

相关威胁 CVE-2025-14467：wpjobportal WP Job Portal – AI-Powered Recruitment System for Company or Job Board website 中 CWE-79 网页生成期间输入净化不当（‘跨站脚本’）中等漏洞 2025年12月12日星期五 CVE-2025-14393：awanhrp Wpik WordPress Basic Ajax Form 中 CWE-79 网页生成期间输入净化不当（‘跨站脚本’）中等漏洞 2025年12月12日星期五 CVE-2025-14392：darendev Simple Theme Changer 中 CWE-862 授权缺失中等漏洞 2025年12月12日星期五 CVE-2025-14391：darendev Simple Theme Changer 中 CWE-352 跨站请求伪造中等漏洞 2025年12月12日星期五 CVE-2025-14354：doubledome Resource Library for Logged In Users 中 CWE-352 跨站请求伪造中等漏洞 2025年12月12日星期五

操作 更新 AI 分析 PRO AI 分析的更新需要 Pro Console 访问权限。在控制台 → 账单中升级。

请登录控制台以使用 AI 分析功能。

分享 外部链接 NVD 数据库 MITRE CVE 参考 1 参考 2 参考 3 在 Google 上搜索

需要增强功能？ 请联系 root@offseq.com 获取具有改进分析和更高速率限制的 Pro 访问权限。

最新威胁 为需要洞察下一步重要事项的安全团队提供实时情报。

SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, Riga, Latvia, LV-1050 价格包含增值税 (21%)

支持 radar@offseq.com +371 2256 5353

平台仪表板威胁威胁地图订阅源 API 文档帐户控制台支持 OffSeq.com 职业服务联系周一至周五，09:00–18:00 (东欧时间) 3个工作日内回复

政策和支付 §条款与条件 ↗ 交付条款 ↺ 退货与退款 🔒隐私政策

接受的支付方式 银行卡支付由 EveryPay 安全处理。

Twitter Mastodon GitHub Bluesky LinkedIn

键盘快捷键 导航转到主页 g h 转到威胁 g t 转到地图 g m 转到订阅源 g f 转到控制台 g c

搜索和过滤器 聚焦搜索 / 切换过滤器 f 选择"所有时间"过滤器 a 清除所有过滤器 c l 刷新数据 r

UI 控制 切换深色/浅色主题 t 显示键盘快捷键？清除焦点/关闭模态窗口 Escape

辅助功能 导航到下一个项目 j 导航到上一个项目 k 激活选定项目 Enter

提示： 随时按？键可切换此帮助面板。多键快捷键（如 g h）应按顺序按下。