Een ernstige kwetsbaarheid, CVE-2025-8399, genaamd, is ontdekt in de Mmm Unity Loader plugin voor WordPress. Deze kwetsbaarheid, bekend als ‘Stored Cross-Site Scripting’, stelt een aanvaller met minimale toegangsrechten in staat om schadelijke scripts te injecteren via de ‘attributes’ parameter. Hierdoor kan er code worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt.
Overzicht
De kwetsbaarheid doet zich voor in de Mmm Unity Loader plugin in alle versies tot en met versie 1.0. Door onvoldoende input-sanitisatie en output-escaping is het mogelijk dat geauthenticeerde aanvallers, met een toegangsniveau als Contributor of hoger, willekeurige webscripts injecteren.
Aanbevelingen
- Werk de Mmm Unity Loader plugin bij naar een versie hoger dan 1.0 zodra deze beschikbaar is, om mogelijke exploits te voorkomen.
- Beperk de toegangsniveaus in uw WordPress-installatie tot de minimale noodzakelijke rechten om schade te minimaliseren bij een eventuele exploitatie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8399?
CVE-2025-8399 is een kwetsbaarheid in de Mmm Unity Loader plugin die exploitatie van ‘Stored Cross-Site Scripting’ mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-8399?
Alle WordPress-websites die gebruikmaken van de Mmm Unity Loader plugin versie 1.0 en lager zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen patch beschikbaar. Het wordt aanbevolen om de plugin bij te werken zodra er een update is uitgebracht.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten schadelijke scripts injecteren die worden uitgevoerd als een gebruiker de getargete pagina bezoekt.
