Een kritiek beveiligingslek is ontdekt in de ProfileGrid – User Profiles, Groups and Communities plugin voor WordPress, geïdentificeerd als CVE-2025-6977. Dit probleem betreft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid via de functie pm_get_messenger_notification. Het lek stelt ongeauthenticeerde aanvallers in staat om willekeurige webscripts in te voegen op pagina’s wanneer ze een ingelogde gebruiker kunnen misleiden een link te klikken.
Overzicht
De kwetsbaarheid treft alle versies tot en met 5.9.5.4 van de plugin. Door ontoereikende invoervalidatie en outputescapingsmaatregelen is het voor aanvallers mogelijk schadelijke scripts in te voeren die uitgevoerd worden in de browser van de gebruiker.
Aanbevelingen
- Update de ProfileGrid – User Profiles, Groups and Communities plugin naar de nieuwste versie die geen last heeft van deze kwetsbaarheid.
- Vermijd klikken op verdachte links, vooral als deze afkomstig zijn van onbekende bronnen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6977?
Het betreft een Reflected Cross-Site Scripting kwetsbaarheid in de ProfileGrid plugin waarmee scripts kunnen worden geïnjecteerd in de browser van de gebruiker.
Welke systemen zijn kwetsbaar voor CVE-2025-6977?
Alle installaties van de ProfileGrid – User Profiles, Groups and Communities plugin tot en met versie 5.9.5.4 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is sterk aanbevolen de plugin zo snel mogelijk te updaten naar de nieuwste versie om blootstelling aan risico te vermijden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts uitvoeren in de webbrowser van een gebruiker, wat kan leiden tot diefstal van informatie of ongeautoriseerde acties namens de gebruiker.
