プラットフォーム
wordpress
コンポーネント
wp-google-map-plugin
修正版
4.8.7
WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filtersプラグインは、WordPressのバージョン0.0.0から4.8.6までのバージョンにおいて、Local File Inclusion (LFI)の脆弱性を抱えています。この脆弱性は、fcloadtemplate関数を通じて、認証された攻撃者が任意のHTMLファイルを読み込み、実行することを可能にします。攻撃者は、Subscriberレベル以上のアクセス権を持つことで、機密情報を盗んだり、悪意のあるコードを実行したりする可能性があります。バージョン4.8.7へのアップデートで修正されています。
このLFI脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Subscriberレベル以上のアクセス権を持つだけで、サーバー上の任意のHTMLファイルを読み込むことができ、そのファイルにPHPコードが含まれている場合、コード実行が可能になります。これにより、攻撃者はWordPressサイトの完全な制御を奪うことができ、機密情報を盗んだり、ウェブサイトを改ざんしたり、他のシステムへの攻撃の足がかりにしたりする可能性があります。特に、攻撃者がアップロードできるHTMLファイルの種類によっては、より深刻な影響を受ける可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、現時点ではKEV(Known Exploited Vulnerabilities)に登録されていません。CVSSスコアは8.8 (HIGH)であり、攻撃の可能性は中程度と評価されます。公開されているPoC(Proof of Concept)は確認されていませんが、LFI脆弱性は一般的に悪用が容易であるため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に確認し、最新の情報を入手するようにしてください。
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、WP Mapsプラグインをバージョン4.8.7にアップデートすることです。アップデートがすぐに利用できない場合、一時的な対策として、WordPressの設定でファイルアップロードを制限したり、WP Mapsプラグインのディレクトリへのアクセスを制限したりすることができます。また、WAF(Web Application Firewall)を導入し、LFI攻撃を検知・防御することも有効です。プラグインのファイルアクセスを厳格に制限し、不必要なファイルの読み込みを防止することが重要です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。
バージョン4.8.7、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-12062は、WP Mapsプラグインのバージョン0.0.0~4.8.6でLocal File Inclusion (LFI)の脆弱性が存在することを示す脆弱性です。攻撃者は、この脆弱性を悪用して、サーバー上の任意のファイルを読み込む可能性があります。
WP Mapsプラグインのバージョン0.0.0~4.8.6を使用している場合は、影響を受ける可能性があります。攻撃者は、この脆弱性を悪用して、機密情報を盗んだり、ウェブサイトを改ざんしたりする可能性があります。
WP Mapsプラグインをバージョン4.8.7にアップデートすることで、この脆弱性を修正できます。
現時点では、CVE-2025-12062の積極的な悪用事例は確認されていませんが、LFI脆弱性は一般的に悪用が容易であるため、注意が必要です。
WP Mapsプラグインの公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。