Een kritieke kwetsbaarheid, aangeduid als CVE-2025-6539, is ontdekt in de Voltax Video Player plugin voor WordPress. Deze kwetsbaarheid laat toe dat aanvallers met een Contributor-account of hoger via het ‘id’ parameter schadelijke webscripts kunnen injecteren op pagina’s. Dit probleem treedt op in alle versies tot en met 1.6.5 en wordt veroorzaakt door onvoldoende inputsanitatie en outputescaping.
Deze kwetsbaarheid kan ernstige gevolgen hebben doordat kwaadwillenden, door middel van Cross-Site Scripting (XSS), scripts kunnen injecteren die uitgevoerd worden wanneer gebruikers aangetaste pagina’s bezoeken, wat kan leiden tot ongeoorloofde toegang tot gevoelige informatie.
Overzicht
CVE-ID: CVE-2025-6539
Products: Voltax Video Player
Aangedane versies: <= 1.6.5
CVSS Score: 6.4 (Medium)
Aanbevelingen
- Update de Voltax Video Player plugin naar een versie hoger dan 1.6.5. Controleer regelmatig op updates om beveiligingsverbeteringen niet te missen.
- Beperk de toegangsniveaus van gebruikers en geef alleen Contributor-rechten aan vertrouwde personen.
- Implementeer extra inputsanitatie en outputescaping binnen uw WordPress-installaties om het risico verder te verkleinen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6539?
Het is een kwetsbaarheid in de Voltax Video Player plugin voor WordPress, die XSS-aanvallen mogelijk maakt via insufficiënte inputsanitatie.
Welke systemen zijn kwetsbaar voor CVE-2025-6539?
Systemen die WordPress draaien met de Voltax Video Player plugin versie 1.6.5 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om te updaten naar een versie hoger dan 1.6.5.
Wat kan een aanvaller met deze kwetsbaarheid?
Met deze kwetsbaarheid kan een aanvaller kwaadaardige scripts injecteren, die vervolgens kunnen worden uitgevoerd wanneer gebruikers een geïnfecteerde pagina bezoeken.
Controleer uw systemen vandaag nog om mogelijke risico's te beperken en update de plugin naar de nieuwste versie.
