Deze kwetsbaarheid, aangeduid als CVE-2025-7658, treft de plugin ‘Temporarily Hidden Content’ van WordPress. Deze plugin is kwetsbaar voor Stored Cross-Site Scripting (XSS) in alle versies tot en met 1.0.6. Hierdoor kunnen aanvallers met een ‘contributor’ toegangsniveau en hoger, schadelijke scripts injecteren die worden uitgevoerd wanneer iemand de geïnjecteerde pagina bezoekt.
Overzicht
De kwetsbaarheid is veroorzaakt door onvoldoende input sanitatie en output escaping van door de gebruiker verstrekte attributen in de ’temphc-start’ shortcode. Dit kan ertoe leiden dat aanvallers willekeurige webscripts injecteren. Het is specifiek gericht op gebruikers met een geauthentificeerde, minimale ‘contributor’-rol.
Aanbevelingen
- Update de ‘Temporarily Hidden Content’ plugin naar een versie hoger dan 1.0.6, indien mogelijk om de kwetsbaarheid te verhelpen.
- Verwijder onnodige gebruikerstoegangsrechten, met name de ‘contributor’ rol, om de risico’s te verkleinen.
- Controleer uw sites op afwijkende inlogpogingen en installeer een firewall zoals Wordfence voor extra beveiliging.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7658?
Dit is een vastgelegde kwetsbaarheid die van toepassing is op de WordPress plugin ‘Temporarily Hidden Content’. Het maakt onveilige scriptinvoer mogelijk in eerdere versies tot en met 1.0.6.
Welke systemen zijn kwetsbaar voor CVE-2025-7658?
Alle systemen die de betreffende plugin op de getroffen versies gebruiken, zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Zorg ervoor dat uw plugin geüpdatet is naar een versie boven 1.0.6 om de kwetsbaarheid te mitigeren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die kunnen worden uitgevoerd wanneer gebruikers de besmette pagina’s bezoeken. Dit kan leiden tot gegevensdiefstal of verdere compromittering van de site.
