Er is een nieuw beveiligingslek ontdekt in de WordPress plugin Events Manager – Calendar, Bookings, Tickets, and more! Dit kritiek routerlek, aangeduid als CVE-2025-6975, beïnvloedt alle versies tot en met 7.0.3. De kwetsbaarheid betreft Reflected Cross-Site Scripting (XSS) via de calendar_header parameter.
Dit betekent dat een aanvaller ongeautoriseerde webscripts kan injecteren via deze parameter als een gebruiker zich laat verleiden tot het klikken op een kwaadaardige link. Het type kwetsbaarheid staat bekend als CWE-79 Improper Neutralization of Input During Web Page Generation (Cross-site Scripting).
Overzicht
De plugin Events Manager is kwetsbaar door onvoldoende invoervalidatie en ontsnapping van uitvoer. Daardoor kunnen aanvallers scripts injecteren die worden uitgevoerd zodra een gebruiker een specifieke actie onderneemt, zoals het klikken op een malafide URL.
Aanbevelingen
- Update de Events Manager plugin naar een veilige versie zodra deze beschikbaar is.
- Vermijd om te klikken op verdachte links, vooral als deze onverwacht lijken of als ze van onbekende bronnen komen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6975?
CVE-2025-6975 is een beveiligingslek in de WordPress plugin Events Manager, dat Reflected Cross-Site Scripting mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-6975?
Alle WordPress websites die de Events Manager plugin gebruiken in een versie tot en met 7.0.3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel zijn er nog geen specifieke patches beschikbaar. Gebruikers worden aangeraden nauwlettend ontwikkelingen te volgen en updates te installeren zodra deze beschikbaar zijn.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd wanneer een nietsvermoedende gebruiker een gemanipuleerde link volgt. Dit kan leiden tot ongeoorloofde toegang tot gebruikersinformatie en potentieel meer schade aanrichten.
