Plataforma
wordpress
Componente
svg-map-by-saedi
Corrigido em
1.0.1
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin SVG Map by Smjrifle para WordPress. Essa falha permite que atacantes injetem scripts maliciosos em páginas web, potencialmente comprometendo a segurança do site. A vulnerabilidade afeta versões do plugin até, e incluindo, 1.0.0. A correção está disponível e a aplicação é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à tomada de controle do site WordPress. A ausência de validação adequada de nonce em ações AJAX como 'savedata', 'deletedata' e 'add_popup' facilita a criação de requisições forjadas que podem ser usadas para modificar as configurações do plugin, excluir dados do mapa e injetar scripts maliciosos. Um atacante pode, por exemplo, criar um link malicioso que, ao ser clicado por um administrador, executa um script que rouba suas credenciais ou instala malware.
A vulnerabilidade foi divulgada em 2026-01-06. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma vulnerabilidade XSS em um plugin popular do WordPress aumenta o risco de exploração, especialmente em sites com configurações de segurança inadequadas.
WordPress sites utilizing the SVG Map by Smjrifle plugin, particularly those with administrative accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if the plugin hasn't been updated.
• wordpress / composer / npm:
grep -r 'admin-ajax.php\?action=save_data' /var/www/html/wp-content/plugins/svg-map-by-smjrifle/• wordpress / composer / npm:
wp plugin list --status=inactive | grep svg-map-by-smjrifle• wordpress / composer / npm:
wp plugin list | grep svg-map-by-smjrifledisclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin SVG Map by Smjrifle para a versão corrigida, assim que estiver disponível. Enquanto isso, considere implementar medidas de proteção adicionais. Desative temporariamente as ações AJAX vulneráveis ('savedata', 'deletedata', 'add_popup') através de um plugin de segurança ou modificando o código do plugin (com cautela). Implementar regras de Web Application Firewall (WAF) para bloquear requisições suspeitas com payloads XSS. Monitore os logs do WordPress em busca de atividades incomuns, como requisições AJAX inesperadas ou modificações nas configurações do plugin.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13519 é uma vulnerabilidade de Cross-Site Scripting (XSS) no plugin SVG Map by Smjrifle para WordPress, que permite a injeção de scripts maliciosos através de requisições forjadas.
Se você utiliza o plugin SVG Map by Smjrifle em versões até 1.0.0, você está potencialmente afetado. Verifique a versão instalada e atualize o plugin.
A correção é atualizar o plugin SVG Map by Smjrifle para a versão mais recente disponível. Enquanto isso, aplique medidas de mitigação como desativar as ações AJAX vulneráveis.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade representa um risco devido à sua natureza e à popularidade do plugin.
Verifique o site oficial do plugin SVG Map by Smjrifle ou o repositório do WordPress para obter o advisory oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.