Een ernstig beveiligingslek, CVE-2025-6832, is ontdekt in de WordPress-plugin ‘All in One Time Clock Lite’ van Codebangers. Deze kwetsbaarheid, gevonden in alle versies tot en met 2.0, maakt het mogelijk voor ongeauthenticeerde aanvallers om via de parameter ‘nonce’ schadelijke webscripts te injecteren. Dit is vooral riskant omdat aanvallers gebruikers kunnen misleiden om op kwaadaardige links te klikken, met als gevolg dat er onverwachte acties worden uitgevoerd op hun systeem.
Overzicht
De kwetsbaarheid bevindt zich in de onvoldoende ontsmetting van invoer en uitvoer in de plugin. Hierdoor worden gebruikers blootgesteld aan Reflected Cross-Site Scripting (XSS)-aanvallen. Voor de aanval is geen authentificatie van de aanvaller vereist, wat het risico verder vergroot.
Aanbevelingen
- Upgrade de plugin naar een versie hoger dan 2.0 zodra een update beschikbaar is.
- Als tijdelijke maatregel, controleer en beperk het klikken op onbekende links die gebruikers naar de plugin-pagina kunnen leiden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6832?
Het is een beveiligingslek in de plugin ‘All in One Time Clock Lite’, waardoor Reflected Cross-Site Scripting mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-6832?
Alle systemen die de ‘All in One Time Clock Lite’ plugin gebruiken met versies tot en met 2.0.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er nog geen patch beschikbaar. Updaten wordt geadviseerd zodra een nieuwe versie uitgebracht is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren en uitvoeren als de gebruiker op een gemanipuleerde link klikt, zonder dat de gebruiker hiervan op de hoogte is.
