Plataforma
wordpress
Componente
svg-map-by-saedi
Corregido en
1.0.1
1.0.1
El plugin SVG Map by Smjrifle para WordPress es vulnerable a Cross-Site Scripting (XSS) debido a la falta de validación de nonce en acciones AJAX clave. Esta vulnerabilidad permite a atacantes no autenticados actualizar la configuración del plugin, eliminar datos del mapa e inyectar scripts maliciosos a través de solicitudes forjadas. La vulnerabilidad afecta a todas las versiones hasta la 1.0.0 inclusive. Se recomienda actualizar el plugin a la última versión disponible o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios de administrador. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso tomar el control completo del sitio web WordPress. La falta de validación de nonce en acciones como 'savedata', 'deletedata' y 'add_popup' facilita la creación de solicitudes forjadas que pueden ser utilizadas para comprometer la seguridad del sitio. La inyección de scripts maliciosos podría resultar en la exfiltración de datos sensibles o la manipulación de la información mostrada a los usuarios.
Esta vulnerabilidad ha sido publicada el 6 de enero de 2026. No se ha reportado su explotación activa en campañas conocidas. No se encuentra listada en el KEV de CISA. Se recomienda monitorear la situación y aplicar las medidas de mitigación lo antes posible para evitar posibles ataques.
WordPress sites utilizing the SVG Map by Smjrifle plugin, particularly those with administrative accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if the plugin hasn't been updated.
• wordpress / composer / npm:
grep -r 'admin-ajax.php\?action=save_data' /var/www/html/wp-content/plugins/svg-map-by-smjrifle/• wordpress / composer / npm:
wp plugin list --status=inactive | grep svg-map-by-smjrifle• wordpress / composer / npm:
wp plugin list | grep svg-map-by-smjrifledisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin SVG Map by Smjrifle a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a las acciones AJAX vulnerables a través de un firewall de aplicaciones web (WAF). Además, se puede implementar una validación de nonce personalizada en el código del plugin para reforzar la seguridad. Después de la actualización, confirme que las acciones AJAX están correctamente protegidas revisando el código fuente del plugin y verificando que los nonces se validen correctamente.
No hay parche conocido disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13519 es una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin SVG Map by Smjrifle para WordPress, que permite a atacantes inyectar scripts maliciosos a través de solicitudes forjadas.
Si está utilizando el plugin SVG Map by Smjrifle en una versión anterior o igual a 1.0.0, es vulnerable a esta vulnerabilidad de XSS.
La solución es actualizar el plugin SVG Map by Smjrifle a la última versión disponible, que incluye la corrección de la vulnerabilidad.
Hasta el momento, no se ha reportado su explotación activa en campañas conocidas, pero se recomienda aplicar las medidas de mitigación.
Consulte el repositorio oficial del plugin o la página de WordPress.org para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.