Een kritieke kwetsbaarheid genaamd CVE-2025-3669 is ontdekt in de Supreme Addons for Beaver Builder plugin voor WordPress. Deze kwetsbaarheid, bekend als een opgeslagen Cross-Site Scripting (XSS) aanval, treedt op in alle versies tot en met 1.0.9. Door onvoldoende input-omzetring en -uitvoer, kunnen attacker met minstens bijdragerniveau willekeurige webscripts injecteren op paginaconten, die vervolgens worden uitgevoerd wanneer een gebruiker deze bezoekt.
Overzicht
Deze kwetsbaarheid ontstaat doordat de shortcode auto_qrcodesabb in de plugin niet voldoende gezuiverde gebruikersinvoer toestaat. Dit biedt aanvallers de mogelijkheid om scripts op pagina’s in te voeren die de beveiliging van de website en gebruikers vertrouwelijkheid in gevaar kunnen brengen.
Aanbevelingen
- Update de Supreme Addons for Beaver Builder plugin naar een versie hoger dan 1.0.9 zodra een update beschikbaar is.
- Beperk de toegangsrechten van gebruikers tot het strikt noodzakelijke om het risico op exploitatie te verminderen.
- Hou de officiële WordPress plugin repository in de gaten voor updates en aanbevolen patches.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-3669?
Het is een beveiligingslek in de Supreme Addons for Beaver Builder plugin waardoor geauthenticeerde aanvallers scripts op een pagina kunnen injecteren.
Welke systemen zijn kwetsbaar voor CVE-2025-3669?
Alle WordPress installaties die gebruikmaken van de Supreme Addons for Beaver Builder plugin versie 1.0.9 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Beheerders worden geadviseerd om de plugin regelmatig te controleren op updates en gepubliceerde beveiligingspatches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die worden uitgevoerd wanneer anderen een door de aanvaller gemanipuleerde pagina bezoeken, wat kan leiden tot gegevensdiefstal of overname van de website.
