Plataforma
wordpress
Componente
wp-google-map-plugin
Corrigido em
4.8.7
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters para WordPress. Essa falha permite que atacantes autenticados, com acesso de nível Subscriber ou superior, incluam e executem arquivos .html arbitrários no servidor, potencialmente levando à execução de código PHP. As versões afetadas são as que variam de 0.0.0 até a 4.8.6, sendo corrigida na versão 4.8.7.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado execute código PHP arbitrário no servidor WordPress. Isso pode levar à exfiltração de dados confidenciais, como credenciais de banco de dados, chaves de API e informações de usuários. Além disso, o atacante pode obter controle total sobre o servidor, permitindo a instalação de malware, a modificação de conteúdo do site e o lançamento de ataques contra outros sistemas na rede. A capacidade de executar código arbitrário torna esta vulnerabilidade particularmente perigosa, com potencial para causar danos significativos à integridade e confidencialidade dos dados.
Esta vulnerabilidade foi publicada em 16 de fevereiro de 2026. A pontuação CVSS de 8.8 (ALTO) indica um risco significativo. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA no momento da publicação. A existência de um PoC público é desconhecida, mas a facilidade de exploração inerente a vulnerabilidades de LFI sugere que um PoC pode ser desenvolvido rapidamente.
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Maps para a versão 4.8.7 ou superior, que corrige a falha de Inclusão de Arquivo Local. Se a atualização imediata não for possível, considere restringir o acesso à função fcloadtemplate através de regras de firewall de aplicação web (WAF) ou proxies reverso, bloqueando solicitações que tentem incluir arquivos não autorizados. Além disso, revise as permissões de arquivos e diretórios no servidor WordPress para garantir que apenas os usuários autorizados tenham acesso de escrita. Monitore os logs do servidor em busca de tentativas de acesso suspeitas à função fcloadtemplate.
Atualize para a versão 4.8.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-12062 is a Local File Inclusion vulnerability in the WP Maps plugin for WordPress, allowing authenticated attackers to include and execute arbitrary HTML files.
You are affected if you are using WP Maps plugin versions 0.0.0 through 4.8.6. Upgrade to 4.8.7 or later to mitigate the risk.
Upgrade the WP Maps plugin to version 4.8.7 or later. If immediate upgrade is not possible, restrict file upload permissions and implement strict input validation.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation increases the risk of opportunistic attacks.
Refer to the official WP Maps plugin website or WordPress security announcements for the latest advisory and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.