मुफ्त स्कैन करें
HIGHCVE-2025-12062CVSS 8.8

WP Maps <= 4.8.6 - प्रमाणित (सदस्य+) सीमित स्थानीय फ़ाइल समावेशन

प्लेटफ़ॉर्म

wordpress

घटक

wp-google-map-plugin

में ठीक किया गया

4.8.7

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2025-12062 WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters प्लगइन में एक गंभीर भेद्यता है। यह भेद्यता हमलावरों को स्थानीय फ़ाइल समावेशन (LFI) का शोषण करने की अनुमति देती है, जिससे वे सर्वर पर मनमाना PHP कोड निष्पादित कर सकते हैं। यह भेद्यता WP Maps प्लगइन के संस्करण 0.0.0 से 4.8.6 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को संस्करण 4.8.7 में अपग्रेड करने की सलाह दी जाती है।

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को WP Maps प्लगइन के माध्यम से सर्वर पर मनमाना PHP कोड निष्पादित करने की अनुमति देती है। एक सफल शोषण से संवेदनशील डेटा का खुलासा, सिस्टम का समझौता, या यहां तक कि सर्वर पर पूर्ण नियंत्रण भी हो सकता है। चूंकि भेद्यता के लिए केवल सब्सक्राइबर-स्तरीय एक्सेस की आवश्यकता होती है, इसलिए यह व्यापक संख्या में वेबसाइटों को जोखिम में डालती है। यह भेद्यता लॉग4शेल जैसी अन्य भेद्यताओं के समान गंभीर परिणाम उत्पन्न कर सकती है, जहां एक साधारण शोषण से व्यापक क्षति हो सकती है। हमलावर प्लगइन के फ़ाइल समावेशन कार्यक्षमता का उपयोग करके सर्वर पर मनमाना कोड अपलोड और निष्पादित कर सकते हैं, जिससे वे डेटा चोरी कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं।

शोषण संदर्भ

CVE-2025-12062 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता और अपेक्षाकृत आसान शोषण क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, उनका जल्द ही उदय होने की संभावना है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को और उजागर करती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/

• wordpress / composer / npm:

wp plugin list | grep "WP Maps"

• wordpress / composer / npm:

wp plugin update wp-maps

• wordpress / composer / npm:

wp plugin status wp-maps

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.06% (18% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकwp-google-map-plugin
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0 – 4.8.64.8.7

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
60Kआला
प्लगइन रेटिंग
4.3
WordPress आवश्यक
3.4+
संगत संस्करण तक
6.9.4
PHP आवश्यक
5.3+
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2025-12062 के प्रभाव को कम करने के लिए, WP Maps प्लगइन को तुरंत संस्करण 4.8.7 में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल समावेशन कार्यक्षमता को अक्षम करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, फ़ाइल अपलोड और समावेशन से संबंधित सभी इनपुट को मान्य करना और सैनिटाइज करना महत्वपूर्ण है। सर्वर लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइल समावेशन के लिए प्लगइन का परीक्षण करें।

कैसे ठीक करें

4.8.7 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-12062 — फ़ाइल समावेशन WP Maps प्लगइन में क्या है?

CVE-2025-12062 WP Maps प्लगइन में एक भेद्यता है जो हमलावरों को मनमाना PHP कोड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2025-12062 में WP Maps प्लगइन से प्रभावित हूं?

यदि आप WP Maps प्लगइन के संस्करण 0.0.0 से 4.8.6 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-12062 में WP Maps प्लगइन को कैसे ठीक करूं?

WP Maps प्लगइन को संस्करण 4.8.7 में अपग्रेड करें।

क्या CVE-2025-12062 सक्रिय रूप से शोषण किया जा रहा है?

अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन इसकी उच्च गंभीरता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है।

मैं CVE-2025-12062 के लिए आधिकारिक WP Maps सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए WP Maps वेबसाइट देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें