Platform
wordpress
Component
slick-google-map
Opgelost in
0.3.1
CVE-2025-48078 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid met Stored XSS in de Slick Google Map plugin voor WordPress. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts uit te voeren in de context van een geauthenticeerde gebruiker. De kwetsbaarheid treft versies van Slick Google Map van 0.0.0 tot en met 0.3. Een fix is beschikbaar in versie 0.3.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens. Aanvallers kunnen ook kwaadaardige scripts injecteren die de functionaliteit van de website kunnen wijzigen of gebruikers omleiden naar schadelijke websites. De impact is aanzienlijk, omdat een aanvaller de acties van een geauthenticeerde gebruiker kan nabootsen, wat kan resulteren in dataverlies of compromittering van de website. Dit soort XSS-aanvallen kunnen vergelijkbaar zijn met aanvallen die via andere WordPress-plugins zijn uitgevoerd, waarbij de integriteit van de website in gevaar komt.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes op dit moment. De publicatiedatum van de CVE is 2025-11-06. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een medium waarschijnlijkheid van exploitatie.
Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.
• wordpress / composer / npm:
grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'• generic web:
curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Slick Google Map plugin naar versie 0.3.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van CSRF-tokens op alle formulieren en gevoelige acties binnen de plugin. Het gebruik van een Web Application Firewall (WAF) kan helpen om kwaadaardige verzoeken te blokkeren. Controleer de WordPress-logboeken op verdachte patronen die wijzen op CSRF-aanvallen. Na de upgrade, controleer de website op tekenen van ongeautoriseerde wijzigingen of verdachte scripts.
Werk de Slick Google Map plugin bij naar een verbeterde versie. Raadpleeg de release notes van de plugin of de website van de ontwikkelaar voor meer informatie over beschikbare updates en hoe deze te installeren. Zorg ervoor dat u een back-up van uw website maakt voordat u een plugin bijwerkt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48078 is a Cross-Site Scripting (XSS) vulnerability in the Slick Google Map WordPress plugin, allowing attackers to inject malicious scripts via CSRF.
You are affected if you are using Slick Google Map versions 0.0.0 through 0.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Slick Google Map plugin to version 0.3.1 or later to resolve the vulnerability. Consider CSRF protection as a temporary workaround if upgrading is not possible.
While no active exploitation has been confirmed, the vulnerability is highly exploitable and should be patched immediately.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.