Een kritiek beveiligingslek is ontdekt in de WordPress-plugin ‘Events Manager – Calendar, Bookings, Tickets, and more!’ Het betreft een tijd-gebaseerde SQL-injectie door middel van de ‘orderby’ parameter. Dit lek treft alle versies tot en met 7.0.3. Door onvoldoende ontsnapping van gebruikersinvoer kunnen aanvallers ongeautoriseerde SQL-query’s injecteren, waarmee gevoelige informatie uit de database kan worden gehaald.
Let op: een aanvaller kan zonder uw weten toegang krijgen tot gevoelige gegevens in uw database.
Overzicht
Het lek treft de versies variërend van 6.6.4.4 tot en met 7.0.3 van de plugin. De kwetsbaarheid maakt het mogelijk voor onbevoegde aanvallers om extra SQL-query’s toe te voegen aan bestaande query’s.
Aanbevelingen
- Update de plugin ‘Events Manager’ naar een versie hoger dan 7.0.3.
- Controleer uw WordPress-instantie op ongeautoriseerde wijzigingen en data-extracties.
- Houd veiligheidsupdates van WordPress en plugins in de gaten op Wordfence Threat Intelligence.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6970?
Het is een documentatie van een kwetsbaarheid die SQL-injecties mogelijk maakt in de ‘Events Manager’ plugin voor WordPress.
Welke systemen zijn kwetsbaar voor CVE-2025-6970?
Systemen die alle versies tot en met 7.0.3 van ‘Events Manager’ gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, zorg voor een update naar een versie hoger dan 7.0.3 om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Met deze kwetsbaarheid kan een aanvaller ongeautoreerde toegang verkrijgen tot gevoelige gegevens in de database door middel van SQL-query’s.
