安全漏洞概况
WordPress 插件 WP Go Maps(原名 WP Google Maps)存在一处严重安全漏洞,影响超过 30 万个网站。该漏洞允许已认证的订阅者(Subscriber)权限用户修改全局地图引擎设置,这意味着攻击者仅需拥有一个普通用户账号即可实施攻击。
插件简介
WP Go Maps 是 WordPress 平台上广受欢迎的地图插件,主要用于在页面和文章中展示可自定义的地图。常见应用场景包括联系页面地图、配送区域展示、门店位置标注等。网站管理员无需编写代码即可管理地图标记和各项设置。 值得注意的是,该插件在安全方面存在问题:2025 年披露了 4 个漏洞,2024 年披露了 7 个漏洞。虽然此前也有漏洞发现,但数量相对较少。
漏洞技术细节
漏洞类型:缺少授权检查(Missing Authorization) 根本原因:插件的 processBackgroundAction() 函数未进行权限验证。正常情况下,该函数应检查登录用户是否有权执行特定操作,但由于缺少这一检查,任何已认证用户都可以调用此函数修改插件设置。 影响范围:
- 所有版本直到 10.0.04
- 需要网站开放订阅者级别注册
实际危害:攻击者可以修改全局地图引擎设置,这些设置适用于整个网站,可能影响地图功能的正常运行。
修复建议
插件开发者已发布安全更新。建议所有使用 WP Go Maps 的网站管理员立即更新至 version 10.0.05 或更高版本。
