Er is een beveiligingsprobleem ontdekt in de Station Pro plugin voor WordPress, CVE-2025-7959, waarbij de Stored Cross-Site Scripting (XSS) kwetsbaarheid kan worden misbruikt. Aanvallers met contributorrechten kunnen via de ‘width’ en ‘height’ parameters schadelijke scripts injecteren. Dit probleem betreft alle versies tot en met 2.4.2.
Overzicht
De kwetsbaarheid komt voort uit onvoldoende input validatie en output escaping in de Station Pro plugin van Marviorocha. Gebruikers met Contributor rechten en hoger kunnen misbruik maken van deze kwetsbaarheid door schadelijke scripts toe te voegen aan de webpagina’s, die worden uitgevoerd zodra een gebruiker de geïnjecteerde pagina bezoekt.
Aanbevelingen
- Zorg ervoor dat u zo snel mogelijk uw versie van Station Pro bijwerkt naar de meest recente versie die dit probleem oplost.
- Voer regelmatige beveiligingsscans uit op uw WordPress-instanties om potentiële injecties te detecteren.
- Beperk de rechten van gebruikers en zorg ervoor dat alleen vertrouwde personen redacteurssrechten krijgen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7959?
Deze CVE verwijst naar een beveiligingslek in de Station Pro plugin voor WordPress waarmee aanvallers schadelijke scripts kunnen uitvoeren op iedere gebruiker die een geïnjecteerde pagina opent.
Welke systemen zijn kwetsbaar voor CVE-2025-7959?
Alle WordPress systemen waarop Station Pro versie 2.4.2 of eerder is geïnstalleerd.
Bestaat er al een patch of beveiligingsupdate?
Gebruikers wordt aangeraden om zo snel mogelijk hun plugins te controleren op updates en deze te installeren wanneer beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid schadelijke scripts uitvoeren die bijvoorbeeld gebruikersgegevens kunnen stelen of verdere aanvallen op uw website kunnen uitvoeren.
