Er is een serieuze beveiligingskwetsbaarheid ontdekt in de ‘Map My Locations’ plugin voor WordPress (versie 1.1 en eerder). Deze kwetsbaarheid, aangeduid als CVE-2025-7660, staat een aanvaller met minimaal contributor-toegang toe om via een ‘Stored Cross-Site Scripting’ (XSS) aanval kwaadaardige scripts in te voegen op uw website.
Dit betekent dat een aanvaller schadelijke scriptcodes kan uitvoeren in de browser van een gebruiker zodra deze een geïnjecteerde pagina bezoekt, wat kan leiden tot gegevensdiefstal en andere beveiligingsincidenten.
Overzicht
De kwetsbaarheid bevindt zich in het ‘map_my_locations’ shortcode van de plugin. Door onvoldoende inputsanitatie en output escaping kunnen aanvallers willekeurige webscripts in pagina’s injecteren.
CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')Aanbevelingen
- Beperk onmiddellijk toegangsniveaus tot de plugin tot minimaal het noodzakelijke.
- Overweeg tijdelijke deactivatie van de plugin totdat er een beveiligingsupdate beschikbaar is.
- Controleer of er nieuwe beveiligingsupdates beschikbaar zijn en voer deze zo snel mogelijk uit.
Bronnen
- Wordfence Threat Intelligence
- Plugin broncode – class-map-my-locations-public.php
- Plugin broncode – map-my-locations-public-display.php
Vraag en Antwoord
Wat is CVE-2025-7660?
Het is een beveiligingslek in de ‘Map My Locations’ plugin waardoor geauthenticeerde gebruikers schadelijke scripts kunnen invoegen via de ‘Stored XSS’ methode.
Welke systemen zijn kwetsbaar voor CVE-2025-7660?
Alle WordPress sites die gebruikmaken van de ‘Map My Locations’ plugin versie 1.1 of eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen patch beschikbaar. Het is belangrijk om contact te houden met de pluginontwikkelaar voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts uitvoeren binnen de browsersessie van bezoekers, wat kan leiden tot gegevensdiefstal of andere vormen van misbruik.
