Een kritieke kwetsbaarheid (CVE-2025-9352) is ontdekt in de Pronamic Google Maps plugin voor WordPress. Deze kwetsbaarheid, geïdentificeerd als Stored Cross-Site Scripting (XSS), kan leiden tot het injecteren van schadelijke scripts door geïntegreerde gebruikers met toegang vanaf Contributor-niveau. Het probleem treft versies tot en met 2.4.1.
Deze kwetsbaarheid kan worden uitgebuit door aanvallers om geïnfecteerde pagina’s te creëren die kwaadwillende scripts uitvoeren wanneer gebruikers deze pagina’s bezoeken, zonder dat zij hiervan op de hoogte zijn.
Overzicht
De kwetsbaarheid ontstaat door onvoldoende neutrale inputverwerking en output escaping in het veld voor beschrijvingen in de plugin. Hierdoor kunnen schadelijke scripts worden geïnjecteerd.
Aanbevelingen
- Update de Pronamic Google Maps plugin naar een nieuwere versie boven 2.4.1.
- Beperk de toegang tot de plugin voor alleen vertrouwde gebruikers met de benodigde rechten.
- Voer een grondige beveiligingsscontrole uit om eventuele bestaande injecties te identificeren en te verwijderen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9352?
Dit is een Cross-Site Scripting kwetsbaarheid in de Pronamic Google Maps plugin.
Welke systemen zijn kwetsbaar?
Alle versies van de Pronamic Google Maps plugin tot en met 2.4.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om te updaten naar een versie boven 2.4.1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die worden uitgevoerd wanneer gebruikers een geïnfecteerde pagina bezoeken.
