Een kritieke Stored Cross-Site Scripting (XSS) kwetsbaarheid is ontdekt in de populaire WordPress plugin CRM en Lead Management door vcita, versie 2.7.5 en eerder. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers met minstens Contributor-toegang om kwaadaardige scripts in te voegen op pagina’s, die uitgevoerd worden wanneer een gebruiker de pagina bezoekt.
Overzicht
De gemelde kwetsbaarheid (CVE-2025-5240) is gecategoriseerd onder CWE-79 voor Improper Neutralization of Input During Web Page Generation (bekend als Cross-Site Scripting). Dit probleem komt door onvolledige input-sanitatie en output-escapement binnen de plugin, specifiek via de type parameter.
Aanbevelingen
- Update naar een hogere versie dan 2.7.5 zodra een patch beschikbaar is. Controleer regelmatig voor updates van de pluginontwikkelaars.
- Beperk de rechten van gebruikers die toegang hebben tot de WordPress-beheerdersomgeving om mogelijke aanvallers te beperken.
- Monitor voortdurend uw website en logs voor verdachte activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5240?
CVE-2025-5240 betreft een ernstige Cross-Site Scripting kwetsbaarheid in de CRM en Lead Management plugin voor WordPress, die aanvallers in staat stelt om schadelijke scripts in te voegen via de type parameter.
Welke systemen zijn kwetsbaar voor CVE-2025-5240?
Alle WordPress-systemen die de CRM en Lead Management plugin gebruiken tot en met versie 2.7.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er nog geen patch vrijgegeven. Het is belangrijk om te blijven controleren op updates van de ontwikkelaars.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts invoegen die worden uitgevoerd bij het bezoeken van de geïnjecteerde pagina, wat kan leiden tot onder andere ongeautoriseerde toegang of gegevensdiefstal.
