WordPress的WP Go Maps插件（原名WP Google Maps）在9.0.38及之前版本中，通过Custom JS选项存在存储型跨站脚本(XSS)漏洞。这使得被管理员明确授权的认证攻击者，拥有贡献者级别及以上权限，能够在页面中注入任意网页脚本，当用户访问这些注入的页面时，脚本将执行。版本9.0.39增加了警告，提醒管理员注意如果向低级别用户授予权限可能被滥用的情况。