Plataforma
wordpress
Componente
slick-google-map
Corrigido em
0.3.1
A vulnerabilidade CVE-2025-48078 é uma falha de Cross-Site Request Forgery (CSRF) que permite a injeção de Cross-Site Scripting (XSS) armazenado no plugin Slick Google Map para WordPress. Essa falha permite que um atacante execute scripts maliciosos no navegador de um usuário autenticado, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do plugin Slick Google Map de 0.0.0 até 0.3, e a correção está disponível na versão 0.3.1.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos em páginas do site que utilizam o Slick Google Map. Esses scripts podem ser usados para roubar cookies de sessão, redirecionar usuários para sites maliciosos, exibir conteúdo falso ou realizar outras ações em nome do usuário. O impacto é significativo, pois a exploração bem-sucedida pode comprometer a segurança de todo o site e a confiança dos usuários. A natureza armazenada do XSS significa que o script malicioso persiste no banco de dados e afeta todos os usuários que visualizam a página comprometida.
A vulnerabilidade foi divulgada em 2025-11-06. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza pública do CVE e a facilidade de exploração tornam a vulnerabilidade um alvo potencial. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração pode ser desenvolvida rapidamente. A vulnerabilidade não está listada no KEV da CISA.
Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.
• wordpress / composer / npm:
grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'• generic web:
curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Slick Google Map para a versão 0.3.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de proteção CSRF, como a validação de tokens CSRF em todos os formulários e requisições que modificam dados no plugin. Além disso, monitore os logs do servidor e do WordPress em busca de atividades suspeitas, como requisições incomuns ou modificações inesperadas nos dados do plugin. Considere a implementação de um Web Application Firewall (WAF) para bloquear requisições maliciosas.
Atualize o plugin Slick Google Map para uma versão corrigida. Consulte as notas da versão do plugin ou o site do desenvolvedor para obter mais informações sobre as atualizações disponíveis e como instalá-las. Certifique-se de fazer um backup do seu site antes de atualizar qualquer plugin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48078 is a Cross-Site Scripting (XSS) vulnerability in the Slick Google Map WordPress plugin, allowing attackers to inject malicious scripts via CSRF.
You are affected if you are using Slick Google Map versions 0.0.0 through 0.3. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Slick Google Map plugin to version 0.3.1 or later to resolve the vulnerability. Consider CSRF protection as a temporary workaround if upgrading is not possible.
While no active exploitation has been confirmed, the vulnerability is highly exploitable and should be patched immediately.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.