प्लेटफ़ॉर्म
wordpress
घटक
wp-google-map-plugin
में ठीक किया गया
4.8.7
CVE-2025-12062 WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters प्लगइन में एक गंभीर भेद्यता है। यह भेद्यता हमलावरों को स्थानीय फ़ाइल समावेशन (LFI) का शोषण करने की अनुमति देती है, जिससे वे सर्वर पर मनमाना PHP कोड निष्पादित कर सकते हैं। यह भेद्यता WP Maps प्लगइन के संस्करण 0.0.0 से 4.8.6 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्लगइन को संस्करण 4.8.7 में अपग्रेड करने की सलाह दी जाती है।
यह भेद्यता हमलावरों को WP Maps प्लगइन के माध्यम से सर्वर पर मनमाना PHP कोड निष्पादित करने की अनुमति देती है। एक सफल शोषण से संवेदनशील डेटा का खुलासा, सिस्टम का समझौता, या यहां तक कि सर्वर पर पूर्ण नियंत्रण भी हो सकता है। चूंकि भेद्यता के लिए केवल सब्सक्राइबर-स्तरीय एक्सेस की आवश्यकता होती है, इसलिए यह व्यापक संख्या में वेबसाइटों को जोखिम में डालती है। यह भेद्यता लॉग4शेल जैसी अन्य भेद्यताओं के समान गंभीर परिणाम उत्पन्न कर सकती है, जहां एक साधारण शोषण से व्यापक क्षति हो सकती है। हमलावर प्लगइन के फ़ाइल समावेशन कार्यक्षमता का उपयोग करके सर्वर पर मनमाना कोड अपलोड और निष्पादित कर सकते हैं, जिससे वे डेटा चोरी कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं।
CVE-2025-12062 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता और अपेक्षाकृत आसान शोषण क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, उनका जल्द ही उदय होने की संभावना है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को और उजागर करती है।
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-12062 के प्रभाव को कम करने के लिए, WP Maps प्लगइन को तुरंत संस्करण 4.8.7 में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल समावेशन कार्यक्षमता को अक्षम करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, फ़ाइल अपलोड और समावेशन से संबंधित सभी इनपुट को मान्य करना और सैनिटाइज करना महत्वपूर्ण है। सर्वर लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइल समावेशन के लिए प्लगइन का परीक्षण करें।
4.8.7 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-12062 WP Maps प्लगइन में एक भेद्यता है जो हमलावरों को मनमाना PHP कोड निष्पादित करने की अनुमति देती है।
यदि आप WP Maps प्लगइन के संस्करण 0.0.0 से 4.8.6 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
WP Maps प्लगइन को संस्करण 4.8.7 में अपग्रेड करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन इसकी उच्च गंभीरता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है।
आधिकारिक सलाहकार के लिए WP Maps वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।