Een nieuwe kwetsbaarheid, CVE-2025-6987, is ontdekt in de WordPress-plugin Advanced iFrame. Deze kwetsbaarheid kan leiden tot opgeslagen Cross-Site Scripting (XSS), veroorzaakt door onvoldoende inputsanitatie en outputescaping van door gebruikers opgegeven attributen. WordPress-gebruikers met bijdragerrechten of hoger kunnen misbruik maken van deze kwetsbaarheid om schadelijke scripts in pagina’s in te voegen.
Door deze kwetsbaarheid kan een aanvaller zonder uw weten toegang krijgen en scripts uitvoeren telkens wanneer een gebruiker een geïnfecteerde pagina bezoekt. Het betreft alle versies van Advanced iFrame tot en met 2025.5.
Overzicht
De plugin Advanced iFrame door mdempfle is kwetsbaar voor opgeslagen Cross-Site Scripting (XSS) via de advanced_iframe shortcode. Authentieke aanvallers kunnen door gebruik van deze kwetsbaarheid willekeurige webscripts in pagina’s injecteren.
Aanbevelingen
- Controleer of u de Advanced iFrame-plugin gebruikt en update deze naar een versie die de kwetsbaarheid verhelpt.
- Beperk de toegang tot het systeem voor gebruikers die alleen bijdragerrechten nodig hebben.
- Blijf alert op beveiligingsmededelingen van Wordfence en andere gerenommeerde bronnen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6987?
CVE-2025-6987 is een kwetsbaarheid voor opgeslagen Cross-Site Scripting in de Advanced iFrame plugin voor WordPress.
Welke systemen zijn kwetsbaar voor CVE-2025-6987?
Alle versies van de Advanced iFrame plugin tot en met 2025.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer op updates vanuit de plugin-ontwikkelaar en voer deze zo snel mogelijk uit.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts in pagina’s invoegen, wat leidt tot ongeautoriseerde toegang tot gevoelige informatie.
