Het populaire WordPress-thema Betheme, ontwikkeld door MuffinGroup, heeft een kritiek beveiligingsprobleem geïdentificeerd: CVE-2025-7399. Dit lek betreft een Stored Cross-Site Scripting (XSS) kwetsbaarheid waarbij een aanvaller met inlogtoegang op Contributor-niveau of hoger schadelijke scripts kan inbrengen via een Elementor-displayinstelling.
Alle versies tot en met 28.1.3 zijn kwetsbaar. Het gevaar is dat deze scripts automatisch worden uitgevoerd telkens wanneer een gebruiker een geïnfecteerde pagina bezoekt, wat kan leiden tot onbedoelde toegang tot gevoelige informatie.
Overzicht
De Stored Cross-Site Scripting kwetsbaarheid ontstaat door onvoldoende inputvalidatie en output-escaping. Dit maakt het mogelijk om schadelijke scripts te injecteren door geauthenticeerde aanvallers.
Aanbevelingen
- Werk uw Betheme thema bij naar een versie hoger dan 28.1.3 zodra er een beveiligingsupdate beschikbaar is.
- Beperk de toegang van gebruikersaccounts die toestemming hebben om wijzigingen aan te brengen binnen uw website.
- Houd uw beveiligingsoplossingen up-to-date en overweeg extra beveiligingstools zoals een web application firewall (WAF).
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7399?
Dit is een beveiligingslek in het Betheme WordPress thema waarbij kwaadwillenden potentieel schadelijke scripts kunnen injecteren.
Welke systemen zijn kwetsbaar voor CVE-2025-7399?
Alle WordPress-installaties die gebruikmaken van het Betheme thema in een versie tot en met 28.1.3.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen patch beschikbaar; houd updates van de ontwikkelaar nauwlettend in de gaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die automatisch worden uitgevoerd bij het bekijken van geïnjecteerde pagina’s, met als gevolg bestaand risico op gegevensdiefstal.
