平台
wordpress
组件
wp-google-map-plugin
修复版本
4.8.7
CVE-2025-12062描述了WordPress插件WP Maps – Store Locator,Google Maps,OpenStreetMap,Mapbox,Listing,Directory & Filters中的一个本地文件包含(LFI)漏洞。该漏洞允许经过身份验证的攻击者(Subscriber级别及以上)通过fcloadtemplate函数包含并执行服务器上的任意.html文件,从而可能导致代码执行。受影响的版本包括0.0.0到4.8.6。已发布补丁版本为4.8.7。
该漏洞的潜在影响非常严重。攻击者可以利用该漏洞包含并执行任意.html文件,如果这些文件允许上传并包含,则可以执行任意PHP代码。这可能导致攻击者绕过访问控制,窃取敏感数据,甚至完全控制受影响的WordPress站点。攻击者可以利用此漏洞读取服务器上的配置文件,获取数据库凭据,或者上传恶意文件并执行它们。由于该漏洞需要身份验证,但攻击者只需要Subscriber权限,因此攻击面相对较广,潜在的受害者数量众多。如果攻击者能够成功执行代码,则可能导致数据泄露、站点被破坏,甚至整个服务器被攻陷。
目前尚未公开确认该漏洞被大规模利用,但由于漏洞的严重性和相对容易利用性,存在被攻击的风险。该漏洞已在2026年2月16日公开披露。建议密切关注安全社区的动态,以及CISA和NVD的更新,以获取最新的威胁情报。由于该漏洞允许代码执行,因此可能成为攻击者的目标。
Websites utilizing the WP Maps plugin, particularly those with a large number of users with Subscriber-level access, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable. Sites with outdated WordPress installations or inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'fc_load_template' /var/www/html/wp-content/plugins/wp-maps/• wordpress / composer / npm:
wp plugin list | grep "WP Maps"• wordpress / composer / npm:
wp plugin update wp-maps• wordpress / composer / npm:
wp plugin status wp-mapsdisclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到WP Maps插件的4.8.7版本或更高版本。如果升级会导致站点出现问题,可以考虑回滚到之前的稳定版本,并尝试使用Web应用防火墙(WAF)或反向代理来过滤对fcloadtemplate函数的请求,阻止包含恶意文件的尝试。此外,应确保WordPress站点上的所有文件权限设置正确,防止未经授权的文件访问。定期审查插件代码,查找潜在的安全漏洞,并及时更新所有插件和主题。
更新到 4.8.7 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-12062描述了WordPress插件WP Maps中的一个本地文件包含漏洞,允许攻击者执行任意PHP代码。CVSS评分为8.8(高),影响版本为0.0.0–4.8.6。
如果您正在使用WP Maps插件的版本低于4.8.7,则可能受到影响。请立即检查您的插件版本并升级。
升级到WP Maps插件的4.8.7版本或更高版本。如果升级导致问题,请考虑回滚并使用WAF进行缓解。
目前尚未公开确认大规模利用,但存在被攻击的风险。建议密切关注安全动态。
请访问WP Maps插件的官方网站或WordPress插件目录,查找相关的安全公告和更新说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。