Plateforme
wordpress
Composant
wp-google-map-plugin
Corrigé dans
4.8.7
Une vulnérabilité d'Inclusion Locale de Fichiers (LFI) a été découverte dans le plugin WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Abonné ou supérieur, d'inclure et d'exécuter des fichiers .html arbitraires sur le serveur. Les versions affectées sont celles comprises entre 0.0.0 et 4.8.6 incluses. Une version corrigée, 4.8.7, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, y compris le vol de données sensibles, la modification du contenu, l'installation de portes dérobées et l'utilisation du serveur pour lancer d'autres attaques. La capacité d'inclure des fichiers .html et d'exécuter du code PHP dans ces fichiers contourne les contrôles d'accès, augmentant considérablement le risque. Un attaquant pourrait potentiellement obtenir un accès non autorisé à la base de données WordPress, aux fichiers de configuration et à d'autres données sensibles. Le vecteur d'attaque est local, nécessitant un accès authentifié au site WordPress, mais l'impact peut être global.
Cette vulnérabilité est actuellement considérée comme de haute probabilité d'exploitation (KEV en attente de confirmation). Bien qu'aucun proof-of-concept public n'ait été largement diffusé, la simplicité de l'exploitation d'une LFI rend cette vulnérabilité attrayante pour les attaquants. La publication de la CVE a eu lieu le 2026-02-16. Il est conseillé de surveiller les forums de sécurité et les sites de partage de code pour détecter l'émergence de PoCs.
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters vers la version 4.8.7 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les types de fichiers autorisés à être téléchargés sur le serveur WordPress. Il est également recommandé de mettre en place un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant la fonction fcloadtemplate. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte.
Mettre à jour vers la version 4.8.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-12062 is a Local File Inclusion vulnerability in the WP Maps plugin for WordPress, allowing authenticated attackers to include and execute arbitrary HTML files.
You are affected if you are using WP Maps plugin versions 0.0.0 through 4.8.6. Upgrade to 4.8.7 or later to mitigate the risk.
Upgrade the WP Maps plugin to version 4.8.7 or later. If immediate upgrade is not possible, restrict file upload permissions and implement strict input validation.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation increases the risk of opportunistic attacks.
Refer to the official WP Maps plugin website or WordPress security announcements for the latest advisory and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.