CVE-2025-13519: XSS dans SVG Map by Smjrifle
Plateforme
wordpress
Composant
svg-map-by-saedi
Corrigé dans
1.0.1
1.0.1
Le plugin WordPress SVG Map by Smjrifle est affecté par une vulnérabilité de Cross-Site Scripting (XSS) jusqu'à la version 1.0.0. Cette faille permet à un attaquant d'injecter des scripts malveillants via une requête forgée, exploitant une absence ou une validation incorrecte des jetons de sécurité (nonce) sur plusieurs actions AJAX. Cette vulnérabilité présente un risque modéré pour les sites WordPress utilisant ce plugin.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
Un attaquant peut exploiter cette vulnérabilité de Cross-Site Scripting (XSS) pour injecter du code JavaScript malveillant dans les pages du site WordPress. En exploitant la faille de Cross-Site Request Forgery (CSRF) associée, l'attaquant peut forcer un administrateur à exécuter des actions malveillantes, telles que la modification des paramètres du plugin, la suppression de données de carte ou l'exécution de scripts. Cela peut conduire au vol de données sensibles, à la prise de contrôle du site web ou à la diffusion de logiciels malveillants aux visiteurs. L'absence de validation correcte des jetons de sécurité rend l'exploitation relativement simple si l'attaquant peut inciter un administrateur à cliquer sur un lien malveillant.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 6 janvier 2026. Il n'y a pas d'indications d'une présence sur le KEV de CISA ni de score EPSS disponible. Aucun Proof of Concept (PoC) public n'est connu à ce jour, mais la combinaison d'une vulnérabilité XSS et CSRF rend l'exploitation potentiellement réalisable. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Qui Est à Risquetraduction en cours…
WordPress sites utilizing the SVG Map by Smjrifle plugin, particularly those with administrative accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if the plugin hasn't been updated.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
grep -r 'admin-ajax.php\?action=save_data' /var/www/html/wp-content/plugins/svg-map-by-smjrifle/• wordpress / composer / npm:
wp plugin list --status=inactive | grep svg-map-by-smjrifle• wordpress / composer / npm:
wp plugin list | grep svg-map-by-smjrifleChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Informations sur le paquet
- Installations actives
- 0
- Note du plugin
- 0.0
- Nécessite WordPress
- 5.8+
- Compatible jusqu'à
- 6.9.4
- Nécessite PHP
- 8.0+
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
Étant donné qu'aucune version corrigée n'est disponible, la mitigation immédiate est limitée. Il est fortement recommandé de désactiver ou de supprimer le plugin SVG Map by Smjrifle jusqu'à ce qu'une version corrigée soit publiée. En attendant, une solution de contournement consiste à implémenter des règles de pare-feu applicatif (WAF) pour bloquer les requêtes AJAX suspectes ciblant les actions 'savedata', 'deletedata' et 'add_popup'. Surveiller attentivement les logs du serveur pour détecter toute activité inhabituelle ou tentatives d'exploitation. Envisager d'utiliser un plugin de sécurité WordPress qui offre une protection CSRF renforcée.
Comment corriger
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2025-13519 — XSS dans SVG Map by Smjrifle ?
CVE-2025-13519 est une vulnérabilité de Cross-Site Scripting (XSS) affectant le plugin WordPress SVG Map by Smjrifle, permettant l'injection de scripts malveillants via une requête CSRF.
Suis-je affecté par CVE-2025-13519 dans SVG Map by Smjrifle ?
Vous êtes affecté si vous utilisez le plugin SVG Map by Smjrifle dans WordPress et que vous n'avez pas mis à jour vers une version corrigée (aucune version corrigée n'est disponible actuellement).
Comment corriger CVE-2025-13519 dans SVG Map by Smjrifle ?
En l'absence de version corrigée, désactivez ou supprimez le plugin et implémentez des règles WAF pour bloquer les requêtes suspectes.
CVE-2025-13519 est-il activement exploité ?
Bien qu'aucun exploit public confirmé ne soit connu, la combinaison XSS et CSRF rend l'exploitation potentiellement réalisable. Une surveillance active est recommandée.
Où puis-je trouver l'avis officiel de SVG Map by Smjrifle pour CVE-2025-13519 ?
Consultez le site web du plugin ou le dépôt GitHub pour les mises à jour et les avis concernant CVE-2025-13519.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.