Platform
wordpress
Component
wp-google-map-plugin
Opgelost in
4.8.7
CVE-2025-12062 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de WP Maps – Store Locator plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige .html bestanden te includeren en uit te voeren, wat potentieel leidt tot het compromitteren van de server. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 4.8.6. Een fix is beschikbaar in versie 4.8.7.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een geauthenticeerde aanvaller, met minimaal Subscriber-toegang, in staat om willekeurige .html bestanden te includeren en uit te voeren. Dit kan worden gebruikt om toegang te krijgen tot gevoelige informatie op de server, zoals configuratiebestanden of database credentials. In scenario's waar .html bestanden kunnen worden geüpload, kan de aanvaller zelfs PHP-code uitvoeren, wat leidt tot volledige controle over de WordPress-installatie. De impact is significant, aangezien een aanvaller de mogelijkheid heeft om de website te compromitteren en data te stelen of te manipuleren.
Er is momenteel geen publieke exploitatie van deze kwetsbaarheid bekend, maar de LFI-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen actieve campagnes bekend, maar gezien de relatieve eenvoud van LFI-exploits is het waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt.
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP Maps plugin naar versie 4.8.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de uploadmogelijkheden voor .html bestanden. Controleer de WordPress-installatie op verdachte bestanden of wijzigingen. Implementeer een Web Application Firewall (WAF) met regels die LFI-pogingen detecteren en blokkeren. Monitor de server logs op ongebruikelijke activiteit, zoals pogingen om bestanden te includeren buiten de verwachte paden.
Update naar versie 4.8.7, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-12062 is a Local File Inclusion vulnerability in the WP Maps plugin for WordPress, allowing authenticated attackers to include and execute arbitrary HTML files.
You are affected if you are using WP Maps plugin versions 0.0.0 through 4.8.6. Upgrade to 4.8.7 or later to mitigate the risk.
Upgrade the WP Maps plugin to version 4.8.7 or later. If immediate upgrade is not possible, restrict file upload permissions and implement strict input validation.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation increases the risk of opportunistic attacks.
Refer to the official WP Maps plugin website or WordPress security announcements for the latest advisory and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.