De Beaver Builder – WordPress Page Builder plugin, tot en met versie 2.9.2.1, is kwetsbaar voor Reflected Cross-Site Scripting (XSS) via de parameter fl_builder. Deze kwetsbaarheid stelt niet-geverifieerde aanvallers in staat om willekeurige webscripts te injecteren, wat kan leiden tot het uitvoeren van acties zonder gebruikersmedeweten.
Overzicht
Deze kwetsbaarheid is het gevolg van onvoldoende sanitatie van invoer en ontsnapping van uitvoer. Het maakt het mogelijk voor aanvallers om gebruikers te misleiden om een link te klikken, wat het script activeert.
Aanbevelingen
- Update naar de nieuwste versie van de Beaver Builder plugin om deze beveiligingskwetsbaarheid te verhelpen.
- Bewaar een sterke webapplicatie-firewall om verdachte activiteiten te blokkeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8897?
Dit is een beveiligingslek in de Beaver Builder plugin voor WordPress waarbij Reflected XSS mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-8897?
Versies van de Beaver Builder plugin tot en met 2.9.2.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update uitgebracht die deze kwetsbaarheid aanpakt. Voer de update onmiddellijk uit.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die acties uitvoeren zonder medeweten van de gebruiker, zoals het bezoedelen van webpagina’s en gegevensdiefstal.
