Er is een kritieke beveiligingskwetsbaarheid (CVE-2025-8100) ontdekt in de WordPress plugin ‘Element Pack Addons for Elementor’. Deze kwetsbaarheid laat cross-site scripting (XSS) toe, waardoor aanvallers met een contributor-account scripts kunnen injecteren in websites. Dit kan leiden tot ernstige beveiligingsrisico’s.
De specifieke kwetsbaarheid zit in de manier waarop de ‘marker_content’-parameter wordt afgehandeld door de Open Street Map widget. Deze tekortkomingen in inputvalidatie en outputescaping maken het mogelijk dat kwaadwillenden scripts kunnen uitvoeren zodra een gebruiker de geïnjecteerde pagina’s bezoekt.
Overzicht
Het probleem betreft de plugin voor WordPress van bdthemes, waarbij alle versies tot en met 8.1.5 kwetsbaar zijn. De geïdentificeerde kwetsbaarheid wordt veroorzaakt door onvoldoende ontsmetting en escapement van invoerdata.
Aanbevelingen
- Update de plugin naar een versie nieuwer dan 8.1.5 zodra er een beveiligingsupdate beschikbaar is.
- Zorg dat gebruikers met contributor-toegang extra gecontroleerd worden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8100?
Dit is een beveiligingslek in de ‘Element Pack Addons for Elementor’ plugin dat toestaat dat kwaadaardige scripts worden geïnjecteerd door gebruikers met bepaalde toegangsniveaus.
Welke systemen zijn kwetsbaar voor CVE-2025-8100?
Alle WordPress-installaties die gebruikmaken van de ‘Element Pack Addons for Elementor’ plugin versie 8.1.5 of lager.
Bestaat er al een patch of beveiligingsupdate?
Momenteel zijn er geen specifieke patch-notities gegeven. Een update naar een latere versie dan 8.1.5 is noodzakelijk zodra beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Met deze kwetsbaarheid kan een aanvaller webscripts in pagina’s injecteren die worden uitgevoerd wanneer een gebruiker de pagina’s bezoekt, wat kan leiden tot compromittering van gevoelige gegevens.
