平台
wordpress
组件
slick-google-map
修复版本
0.3.1
CVE-2025-48078 描述了Slick Google Map插件中的一个跨站请求伪造(CSRF)漏洞,该漏洞可导致存储型跨站脚本攻击(XSS)。此漏洞影响Slick Google Map 0.0.0到0.3版本。攻击者可以利用此漏洞在受害者不知情的情况下执行恶意脚本,从而窃取敏感信息或执行未经授权的操作。该漏洞已于0.3.1版本中修复。
该XSS漏洞允许攻击者通过CSRF攻击在受害者的浏览器中执行恶意JavaScript代码。攻击者可以诱使用户点击恶意链接或访问恶意网页,从而触发攻击。成功利用此漏洞可能导致攻击者窃取用户的Cookie、会话令牌和其他敏感信息。此外,攻击者还可以利用此漏洞冒充用户执行操作,例如修改用户配置或发布恶意内容。由于该漏洞是存储型XSS,攻击者可以持久地将恶意脚本存储在服务器上,从而影响所有访问受感染页面的用户。
该漏洞已于2025年11月6日公开披露。目前尚无公开的PoC代码,但由于该漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取相应的安全措施。该漏洞尚未被添加到CISA KEV目录。
Websites using the Slick Google Map plugin, particularly those with user authentication or sensitive data displayed through the plugin, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a single compromised plugin can affect multiple websites.
• wordpress / composer / npm:
grep -r 'slick-google-map' /var/www/html/wp-content/plugins/
wp plugin list | grep 'slick-google-map'• generic web:
curl -I https://example.com/wp-content/plugins/slick-google-map/ | grep 'X-Frame-Options'disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将Slick Google Map插件更新到0.3.1或更高版本。如果无法立即更新,可以考虑实施一些临时缓解措施。例如,可以配置WordPress的Web应用防火墙(WAF)来阻止CSRF攻击。此外,可以审查Slick Google Map插件的配置,以确保其安全性。建议禁用不必要的特性并限制用户权限。最后,定期扫描WordPress网站,以检测潜在的安全漏洞。
将 Slick Google Map 插件更新到已修复的版本。请参阅插件的发行说明或开发人员网站以获取有关可用更新和如何安装它们的更多信息。在更新任何插件之前,请务必备份您的网站。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-48078描述了Slick Google Map插件中的一个存储型XSS漏洞,攻击者可以通过CSRF攻击执行恶意脚本。
如果您正在使用Slick Google Map 0.0.0到0.3版本,则可能受到此漏洞的影响。请立即检查您的插件版本。
将Slick Google Map插件更新到0.3.1或更高版本。
目前尚无公开的利用案例,但由于漏洞的严重性,预计未来可能会被利用。
请访问Slick Google Map官方网站或WordPress插件目录,查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。