Plataforma
wordpress
Componente
slick-google-map
Corregido en
0.3.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) con XSS almacenado en el plugin Slick Google Map para WordPress. Esta falla permite a atacantes inyectar scripts maliciosos a través de solicitudes falsificadas, comprometiendo la seguridad del sitio web. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 0.3 inclusive, y se ha solucionado en la versión 0.3.1.
La vulnerabilidad CSRF con XSS almacenado en Slick Google Map permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios para modificar el plugin. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación del contenido del sitio web o incluso el acceso a información sensible almacenada en el sitio. Un atacante podría, por ejemplo, modificar la configuración del mapa para mostrar información falsa o redirigir a los usuarios a una página de phishing. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de los datos del sitio web y de sus usuarios.
Esta vulnerabilidad ha sido publicada el 6 de noviembre de 2025. No se han reportado activamente campañas de explotación a gran escala, pero la naturaleza de la vulnerabilidad (XSS) la hace susceptible a ataques automatizados. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.
• wordpress / composer / npm:
grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'• generic web:
curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Slick Google Map a la versión 0.3.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes CSRF. Monitorear los logs del servidor en busca de patrones sospechosos de solicitudes CSRF también puede ayudar a detectar y prevenir ataques.
Actualice el plugin Slick Google Map a una versión corregida. Consulte las notas de la versión del plugin o el sitio web del desarrollador para obtener más información sobre las actualizaciones disponibles y cómo instalarlas. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-48078 is a Cross-Site Scripting (XSS) vulnerability in the Slick Google Map WordPress plugin, allowing attackers to inject malicious scripts via CSRF.
You are affected if you are using Slick Google Map versions 0.0.0 through 0.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Slick Google Map plugin to version 0.3.1 or later to resolve the vulnerability. Consider CSRF protection as a temporary workaround if upgrading is not possible.
While no active exploitation has been confirmed, the vulnerability is highly exploitable and should be patched immediately.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.