De Block Editor Gallery Slider plugin voor WordPress bevat een kritiek beveiligingslek dat tot en met versie 1.1.1 niet de juiste toegangscontrole toepast bij de classic_gallery_slider_options() functie. Dit probleem kan misbruikt worden door aangemelde aanvallers met ten minste ‘Subscriber’-rechten om post metadata aan te passen.
Hoewel de impact als ‘gemiddeld’ wordt beschouwd volgens CVSS (score 4.3), kan een aanvaller onopgemerkt wijzigingen in uw website aanbrengen.
Overzicht
Een gebrekkige autorisatiecheck in de Block Editor Gallery Slider plugin maakt het mogelijk voor bepaalde klanten om zonder voldoende rechten beperkte post metadata te bewerken. De volgende versies zijn kwetsbaar:
* (<= 1.1.1)
Deze kwetsbaarheid is geïdentificeerd als CWE-862 (Ontbrekende Autorisatie).
Aanbevelingen
- Update de plugin Block Editor Gallery Slider naar de laatste versie zodra er een beveiligingspatch beschikbaar is.
- Controleer en beperk de toegangsrechten van gebruikers die op Subscriber-niveau opereren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6726?
Het is een beveiligingslek in de WordPress-plugin Block Editor Gallery Slider dat onbevoegde datamanipulatie mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-6726?
Alle systemen die de Block Editor Gallery Slider plugin tot en met versie 1.1.1 gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er geen bevestigde patch. Het is belangrijk om de pluginpagina en beveiligingsbronnen in de gaten te houden voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bepaalde metadata van posts aanpassen en mogelijk de structuur of inhoud van de website beïnvloeden.
