HIGHCVE-2025-48078CVSS 7.1

WordPress Slick Google Map プラグイン <= 0.3 - Stored XSS 脆弱性を引き起こす Cross Site Request Forgery (CSRF) 脆弱性

Q: CVE-2025-48078 — XSS in Slick Google Mapとは何ですか？

CVE-2025-48078は、Slick Google Mapプラグインのバージョン0.0.0から0.3までの脆弱性で、クロスサイトリクエストフォージェリ(CSRF)を悪用した保存型XSS攻撃を許容します。

Q: CVE-2025-48078 in Slick Google Mapの影響はありますか？

Slick Google Mapのバージョン0.0.0から0.3を使用している場合は影響があります。攻撃者は悪意のあるスクリプトを実行し、ユーザーのセッションCookieを盗む可能性があります。

Q: CVE-2025-48078 in Slick Google Mapを修正するにはどうすればよいですか？

Slick Google Mapをバージョン0.3.1にアップデートしてください。アップデートができない場合は、WordPressのセキュリティプラグインでCSRF対策を強化してください。

Q: CVE-2025-48078は積極的に悪用されていますか？

現時点では具体的な悪用事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。

Q: CVE-2025-48078に関するSlick Google Mapの公式アドバイザリはどこで入手できますか？

Slick Google Mapの公式アドバイザリは、プラグインのアップデート情報や詳細な修正内容を確認できるため、必ず参照してください。

プラットフォーム

wordpress

コンポーネント

slick-google-map

修正版

0.3.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-48078は、Norbert Slick Google Mapにおいて発見されたクロスサイトリクエストフォージェリ(CSRF)脆弱性により、保存型XSS攻撃を許容する問題です。この脆弱性は、攻撃者が悪意のあるスクリプトをウェブサイトに注入し、ユーザーがそのページを閲覧した際にスクリプトが実行されることを可能にします。影響を受けるバージョンはSlick Google Mapの0.0.0から0.3までのバージョンです。この問題は0.3.1で修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者はユーザーのセッションCookieを盗み出し、ユーザーになりすまして機密情報にアクセスしたり、ユーザーの代わりにアクションを実行したりすることが可能になります。また、悪意のあるリダイレクトを実行したり、ウェブサイトのコンテンツを改ざんしたりすることも可能です。この脆弱性は、特に管理者がSlick Google Mapを使用しているWordPressサイトにおいて、深刻な影響を及ぼす可能性があります。攻撃者は、ユーザーがログインしている間に悪意のあるコードを実行し、サイト全体のセキュリティを侵害する可能性があります。

悪用の状況

このCVEは2025年11月6日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'

• generic web:

curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'

攻撃タイムライン

2025-11-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントslick-google-map

ベンダーNorbert

影響範囲修正版

0 – 0.30.3.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-05-15
公開日2025-11-06
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずSlick Google Mapをバージョン0.3.1にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、WordPressのセキュリティプラグインを使用してCSRF対策を強化することを検討してください。また、入力検証を厳密に行い、ユーザーからの入力を適切にサニタイズすることで、XSS攻撃のリスクを軽減できます。WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効な対策となります。

修正方法

Slick Google Map プラグインを修正されたバージョンにアップデートしてください。プラグインのリリースノートまたは開発者のウェブサイトで、利用可能なアップデートとインストール方法に関する詳細を確認してください。プラグインのアップデート前に、必ずウェブサイトのバックアップを作成してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-48078 — XSS in Slick Google Mapとは何ですか？