De WordPress plugin ‘Ebook Store’ bevat een kritieke kwetsbaarheid (CVE-2025-7486) die toegestaan input onvoldoende neutraliseert, met name binnen de bestelgegevens. Dit veiligheidslek kan worden misbruikt door geauthenticeerde aanvallers met beheerdersrechten om kwaadaardige scripts in te voegen, die uitvoeren wanneer getroffen pagina’s worden bekeken. Dit heeft speciaal impact op multi-site installaties en systemen waar ‘unfiltered_html’ is uitgeschakeld.
Overzicht
Alle versies van de ‘Ebook Store’ plugin tot en met versie 5.8012 zijn vatbaar voor deze kwetsbaarheid. Door de improper input neutralisatie kunnen kwaadwillenden scripts in webpagina’s injecteren, wat gegevenscompromittering mogelijk maakt.
CVE ID: CVE-2025-7486
Risico: CWE-79 Improper Neutralization
Aanbevelingen
- Update onmiddellijk naar de nieuwste versie van de ‘Ebook Store’ plugin zodra beschikbaar.
- Houd multi-site installaties en beheerderstoegang nauwlettend in de gaten.
- Schakel ‘unfiltered_html’ uit voor gebruikers die het niet strikt nodig hebben.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7486?
Dit is een beveiligingsprobleem binnen de ‘Ebook Store’ plugin waarbij beheerders kwaadwillende scripts kunnen injecteren die bij openen door anderen worden uitgevoerd.
Welke systemen zijn kwetsbaar voor CVE-2025-7486?
Systemen met de ‘Ebook Store’ plugin versie 5.8012 of lager en voornamelijk multi-site installaties waar ‘unfiltered_html’ is uitgeschakeld.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen patch, maar het wordt sterk aanbevolen de plugin bij een update direct bij te werken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts invoeren die leiden tot het verzamelen of compromitteren van gegevens als gebruikers kwetsbare pagina’s bezoeken.
Waarschuwing: De kwetsbaarheid kan worden gebruikt om toegang te krijgen tot gevoelige gegevens zonder dat de gebruiker hiervan op de hoogte is.
