Plateforme
wordpress
Composant
svg-map-by-saedi
Corrigé dans
1.0.1
1.0.1
Le plugin WordPress SVG Map by Smjrifle est affecté par une vulnérabilité de Cross-Site Scripting (XSS) jusqu'à la version 1.0.0. Cette faille permet à un attaquant d'injecter des scripts malveillants via une requête forgée, exploitant une absence ou une validation incorrecte des jetons de sécurité (nonce) sur plusieurs actions AJAX. Cette vulnérabilité présente un risque modéré pour les sites WordPress utilisant ce plugin.
Un attaquant peut exploiter cette vulnérabilité de Cross-Site Scripting (XSS) pour injecter du code JavaScript malveillant dans les pages du site WordPress. En exploitant la faille de Cross-Site Request Forgery (CSRF) associée, l'attaquant peut forcer un administrateur à exécuter des actions malveillantes, telles que la modification des paramètres du plugin, la suppression de données de carte ou l'exécution de scripts. Cela peut conduire au vol de données sensibles, à la prise de contrôle du site web ou à la diffusion de logiciels malveillants aux visiteurs. L'absence de validation correcte des jetons de sécurité rend l'exploitation relativement simple si l'attaquant peut inciter un administrateur à cliquer sur un lien malveillant.
Cette vulnérabilité a été rendue publique le 6 janvier 2026. Il n'y a pas d'indications d'une présence sur le KEV de CISA ni de score EPSS disponible. Aucun Proof of Concept (PoC) public n'est connu à ce jour, mais la combinaison d'une vulnérabilité XSS et CSRF rend l'exploitation potentiellement réalisable. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress sites utilizing the SVG Map by Smjrifle plugin, particularly those with administrative accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if the plugin hasn't been updated.
• wordpress / composer / npm:
grep -r 'admin-ajax.php\?action=save_data' /var/www/html/wp-content/plugins/svg-map-by-smjrifle/• wordpress / composer / npm:
wp plugin list --status=inactive | grep svg-map-by-smjrifle• wordpress / composer / npm:
wp plugin list | grep svg-map-by-smjrifledisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune version corrigée n'est disponible, la mitigation immédiate est limitée. Il est fortement recommandé de désactiver ou de supprimer le plugin SVG Map by Smjrifle jusqu'à ce qu'une version corrigée soit publiée. En attendant, une solution de contournement consiste à implémenter des règles de pare-feu applicatif (WAF) pour bloquer les requêtes AJAX suspectes ciblant les actions 'savedata', 'deletedata' et 'add_popup'. Surveiller attentivement les logs du serveur pour détecter toute activité inhabituelle ou tentatives d'exploitation. Envisager d'utiliser un plugin de sécurité WordPress qui offre une protection CSRF renforcée.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13519 est une vulnérabilité de Cross-Site Scripting (XSS) affectant le plugin WordPress SVG Map by Smjrifle, permettant l'injection de scripts malveillants via une requête CSRF.
Vous êtes affecté si vous utilisez le plugin SVG Map by Smjrifle dans WordPress et que vous n'avez pas mis à jour vers une version corrigée (aucune version corrigée n'est disponible actuellement).
En l'absence de version corrigée, désactivez ou supprimez le plugin et implémentez des règles WAF pour bloquer les requêtes suspectes.
Bien qu'aucun exploit public confirmé ne soit connu, la combinaison XSS et CSRF rend l'exploitation potentiellement réalisable. Une surveillance active est recommandée.
Consultez le site web du plugin ou le dépôt GitHub pour les mises à jour et les avis concernant CVE-2025-13519.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.