Er is een ernstige kwetsbaarheid ontdekt in de WordPress plugin ‘Vertical scroll image slideshow gallery’. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers met minstens ‘Contributor’-rechten om schadelijke scripts in te voegen via de ‘width’-parameter. Deze scripts worden uitgevoerd zodra een gebruiker een geïnjecteerde pagina bezoekt. Dit lek, gelabeld als CVE-2025-5752, heeft een CVSS-score van 6.4 en betreft alle versies tot en met 11.1.
Overzicht
De kwetsbaarheid valt onder de categorisering CWE-79 ‘Improper Neutralization of Input During Web Page Generation’, ook wel bekend als Cross-Site Scripting (XSS). Authenticatie om deze kwetsbaarheid uit te buiten is laagdrempelig, waarbij alleen bijdragers en hoger rechten hebben om scripts in te voegen.
Aanbevelingen
- Update onmiddellijk naar een niet-gekwetste versie zodra deze beschikbaar is.
- Beperk toegenomechte rechten voor gebruikers waaraan u toegang verleent.
Bronnen
Vraag en Antwoord
Welke systemen zijn kwetsbaar voor CVE-2025-5752?
Gebruikers van de ‘Vertical scroll image slideshow gallery’ plugin tot en met versie 11.1.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen definitieve patch uitgebracht, gebruikers moeten op de hoogte blijven voor toekomstige updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts insluiten die worden uitgevoerd wanneer een gebruiker de geïnfecteerde pagina bezoekt, mogelijk toegang krijgend tot gevoelige informatie of mogelijkheden om verdere exploits uit te voeren.
