Een beveiligingsprobleem in de Pixel Gallery Addons plug-in voor Elementor stelt gebruikers bloot aan opgeslagen cross-site scripting (XSS) via URLs in alle widgets. Dit probleem komt voor in alle versies tot en met 1.6.7. Daardoor kunnen geauthenticeerde aanvallers met rechten vanaf het niveau ‘Contributor’ willekeurige scripts injecteren in pagina’s die worden uitgevoerd wanneer een gebruiker een geïnfecteerde pagina bezoekt.
Overzicht
Deze kwetsbaarheid, geïdentificeerd als CVE-2025-7644, heeft gevolgen voor het Pixel Gallery Addons voor Elementor-product van bdthemes. Versies tot en met 1.6.7 zijn kwetsbaar.
Aanbevelingen
- Update naar een nieuwere versie dan 1.6.7 voor volledige bescherming tegen deze kwetsbaarheid.
- Beperk de toegang tot gebruikersrollen met beperkte bevoegdheden om het risico te minimaliseren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7644?
Dit is een documentatie-ID voor een specifieke kwetsbaarheid in de WordPress Pixel Gallery Addons voor Elementor-plugin, waarmee een aanvaller cross-site scripting kan uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-7644?
Systemen die de Pixel Gallery Addons voor Elementor-plugin in een versie tot en met 1.6.7 gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aangeraden om te updaten naar een versie boven 1.6.7 om beschermd te zijn.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige webscripts injecteren die worden uitgevoerd wanneer een gebruiker de geïnjecteerde pagina bezoekt, met potentieel ongewenste effecten zoals het stelen van cookies of het omleiden naar malafide websites.
