Onlangs is een kwetsbaarheid ontdekt in de WordPress plugin Get Youtube Subs die van invloed is op alle versies tot en met 3.5. Deze kwetsbaarheid, aangeduid als CVE-2025-7966, maakt het mogelijk voor aanvallers met een Contributor-rol of hoger om schadelijke webscripts in te voegen op pagina’s. Dit komt door onvoldoende input sanering en output ontsnappen in de ‘channel’, ‘layout’ en ‘subs_count’ parameters.
Overzicht
De kwetsbaarheid betreft een Stored Cross-Site Scripting (XSS) probleem dat kan worden misbruikt door geauthenticeerde gebruikers met ten minste Contributor-rechten. Door deze bug kunnen scripts worden ingevoegd die worden uitgevoerd zodra een gebruiker een gecompromitteerde pagina bezoekt.
Aanbevelingen
- Bijwerken naar een nieuwere versie zodra deze beschikbaar is om de kwetsbaarheid te verhelpen.
- Beperk de toegangsniveaus van gebruikers die plugins kunnen bewerken of beheren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7966?
Het is een kwetsbaarheid in de Get Youtube Subs plugin voor WordPress, waarbij aanvallers schadelijke scripts kunnen invoegen in de ‘channel’, ‘layout’ en ‘subs_count’ parameters.
Welke systemen zijn kwetsbaar voor CVE-2025-7966?
Alle versies van de Get Youtube Subs plugin tot en inclusief versie 3.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven wordt aangeraden om de plugin te updaten zodra een patch beschikbaar komt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door middel van deze kwetsbaarheid webscripts invoegen die automatisch worden uitgevoerd zodra een gebruiker een geïnfecteerde pagina bezoekt, met mogelijk schadelijke gevolgen voor de bezoeker.
