Plateforme
wordpress
Composant
slick-google-map
Corrigé dans
0.3.1
Une vulnérabilité CSRF (Cross-Site Request Forgery) a été découverte dans le plugin Slick Google Map, permettant une attaque XSS stockée. Cette faille affecte les versions du plugin allant de 0.0.0 à 0.3 inclus. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'injecter du code JavaScript malveillant sur le site web, compromettant potentiellement les données des utilisateurs et l'intégrité du site. Une version corrigée, 0.3.1, est désormais disponible.
Cette vulnérabilité CSRF permet à un attaquant d'exploiter la fonction de requête intersite pour injecter du code JavaScript malveillant via une requête HTTP. Le code injecté peut être stocké sur le serveur et exécuté par les utilisateurs ultérieurs qui visitent la page affectée, ce qui conduit à une attaque XSS stockée. Les conséquences peuvent être graves : vol de cookies de session, redirection vers des sites malveillants, modification du contenu du site web, ou même le contrôle total du site. Bien que la description ne mentionne pas de similitudes avec des attaques connues, le principe de CSRF combiné à XSS est une menace courante et bien comprise.
Cette vulnérabilité a été rendue publique le 6 novembre 2025. Aucune information sur une exploitation active n'est disponible à ce jour. Le score de probabilité d'exploitation n'est pas encore évalué par CISA (KEV). Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant cette vulnérabilité.
Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.
• wordpress / composer / npm:
grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'• generic web:
curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Slick Google Map vers la version 0.3.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de désactiver temporairement le plugin. En attendant, il est possible de mettre en place des mesures de protection supplémentaires, telles que l'implémentation de tokens CSRF sur les formulaires du plugin ou l'utilisation d'un Web Application Firewall (WAF) pour bloquer les requêtes suspectes. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes WordPress.
Mettez à jour le plugin Slick Google Map vers une version corrigée. Consultez les notes de version du plugin ou le site web du développeur pour plus d'informations sur les mises à jour disponibles et comment les installer. Assurez-vous de sauvegarder votre site web avant de mettre à jour tout plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48078 is a Cross-Site Scripting (XSS) vulnerability in the Slick Google Map WordPress plugin, allowing attackers to inject malicious scripts via CSRF.
You are affected if you are using Slick Google Map versions 0.0.0 through 0.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Slick Google Map plugin to version 0.3.1 or later to resolve the vulnerability. Consider CSRF protection as a temporary workaround if upgrading is not possible.
While no active exploitation has been confirmed, the vulnerability is highly exploitable and should be patched immediately.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.