CVE-2025-13519: XSS in SVG Map by Smjrifle

このXSS脆弱性を悪用されると、攻撃者はWordPressサイトの管理者のブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者は機密情報を盗み取ったり、サイトのコンテンツを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりすることが可能になります。特に、savedata、deletedata、add_popupといったAJAXアクションが影響を受けやすく、攻撃者はこれらのアクションを悪用して、プラグインの設定を不正に変更したり、マップデータを削除したり、悪意のあるポップアップを表示させたりすることができます。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

WordPress sites utilizing the SVG Map by Smjrifle plugin, particularly those with administrative accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if the plugin hasn't been updated.

• wordpress / composer / npm:

grep -r 'admin-ajax.php\?action=save_data' /var/www/html/wp-content/plugins/svg-map-by-smjrifle/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep svg-map-by-smjrifle

• wordpress / composer / npm:

wp plugin list | grep svg-map-by-smjrifle

1. 2026-01-06Disclosure

   disclosure

1. 予約済み2025-11-21
2. 公開日2026-01-06
3. 更新日2026-04-15
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずSVG Map by Smjrifleプラグインをバージョン1.0.0にアップデートすることを強く推奨します。アップデートが困難な場合は、Web Application Firewall (WAF) を導入し、不正なリクエストをブロックするルールを設定してください。また、入力検証を強化し、ユーザーからの入力を適切にサニタイズすることで、XSS攻撃のリスクを軽減できます。さらに、WordPressのセキュリティプラグインを導入し、サイト全体のセキュリティを強化することも有効です。アップデート後、プラグインの動作を確認し、問題がないことを確認してください。

アクティブインストール数

0

プラグイン評価

0.0

WordPressが必要

5.8+

動作確認済みバージョン

6.9.4

PHPが必要

8.0+