Er is een belangrijke kwetsbaarheid ontdekt in de plugin Exclusive Addons voor Elementor, met het potentieel om je WordPress-site bloot te stellen aan gevaarlijke scripts. Deze kwetsbaarheid, CVE-2025-7498, staat bekend om zijn vermogen tot cross-site scripting (XSS) injectie, waardoor een aanvaller ongewenste scripts kan uitvoeren via de Countdown Widget.
De kwetsbaarheid treft alle versies van de plugin tot en met versie 2.7.9.4. Een aanvaller met minimaal Contributor-rechten kan misbruik maken van deze zwakte om schadelijke scripts te injecteren die gebruikers ongemerkt kunnen activeren bij het bezoeken van de geïnfecteerde pagina’s.
Overzicht
Deze kwetsbaarheid is toe te schrijven aan onvoldoende inputsanitatie en output escaping. Het probleem is op 5 augustus 2025 bekendgemaakt en heeft een CVSS basis score van 6.4, wat het een gemiddelde tot hoge prioriteit maakt om te verhelpen.
Aanbevelingen
- Controleer of jouw versie van de Exclusive Addons voor Elementor plugin ouder is dan
2.7.9.4en update zo snel mogelijk naar een nieuwere, beveiligde versie indien beschikbaar. - Beperk de toegang van gebruikers met Contributor-rechten nog verder of herzie deze om het potentiële risico op misbruik te minimaliseren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7498?
Deze CVE betreft een kwetsbaarheid in de WordPress plugin Exclusive Addons voor Elementor die vanwege incorrecte inputverwerking cross-site scripting mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-7498?
Alle WordPress-sites die gebruikmaken van de plugin Exclusive Addons voor Elementor versie 2.7.9.4 of ouder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen specifieke informatie over een patch beschikbaar, maar het bijwerken naar een nieuwere versie is ten zeerste aan te raden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts in geïnjecteerde pagina’s uitvoeren, wat kan leiden tot ongeautoriseerde toegang en mogelijke controle over de getroffen pagina.
