De populaire WordPress-plugin EPay.bg Payments, versie 0.1 en lager, bevat een belangrijke kwetsbaarheid voor Cross-Site Scripting (XSS). Deze kwetsbaarheid maakt het mogelijk voor iemand met bijdragersrechten om schadelijke scripts te injecteren die worden uitgevoerd wanneer een gebruiker een geïnfecteerde pagina opent.
Doordat de invoer onvoldoende wordt gesaneerd, ontstaat er een ernstig beveiligingslek dat zowel technische als niet-technische gebruikers in gevaar kan brengen. Een succesvolle aanval kan leiden tot ongeautoriseerde toegang tot gevoelige informatie.
Overzicht
De kwetsbaarheid, aangeduid als CVE-2025-7653, scoort een 6.4 op de CVSS-schaal en valt onder de categorie ‘Medium’ qua ernst. De kwetsbare functie bevindt zich in de epay shortcode van de plugin.
Aanbevelingen
- Upgraden naar de nieuwste, gepatchte versie van de EPay.bg Payments-plugin zodra deze beschikbaar is.
- Beperk toegang tot en bewerk rechten voor gebruikers met lagere toegangsrechten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7653?
Dit is een kwetsbaarheid die betrekking heeft op Stored Cross-Site Scripting (XSS) in de EPay.bg Payments-plugin tot en met versie 0.1.
Welke systemen zijn kwetsbaar voor CVE-2025-7653?
Alle systemen die de EPay.bg Payments-plugin gebruiken in versie 0.1 of lager.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen patch beschikbaar. Houd updates van de ontwikkelaar in de gaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die bij het openen toegang krijgen tot gevoelige informatie zonder dat de gebruiker het merkt.
