Opgelet! Een kritiek beveiligingsprobleem, CVE-2025-6976, is ontdekt in de populaire WordPress-plugin “Events Manager – Calendar, Bookings, Tickets, and more!”. Dit lek maakt gebruik van stored cross-site scripting (XSS) waardoor aanvallers met contributor-rechten kwaadaardige scripts kunnen injecteren. Dit wordt geactiveerd wanneer een gebruiker de geïnfecteerde pagina’s bezoekt.
Overzicht
De kwetsbaarheid is aanwezig in alle versies van de plugin tot en met 7.0.3, met uitzondering van versies onder 6.6.4.4. Het probleem wordt veroorzaakt door onvoldoende input sanitisatie en output escapement in de shortcodes van de plugin.
Aanbevelingen
- Update naar een niet-geïnfecteerde versie van de plugin zodra deze beschikbaar is.
- Controleer of gebruikers met contributor-rechten geen ongewenste toegang of bevoegdheden hebben.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6976?
Het betreft een kwetsbaarheid in de Events Manager plugin die het mogelijk maakt dat opgeslagen scripts door kwaadwillenden op uw website kunnen worden uitgevoerd.
Welke systemen zijn kwetsbaar voor CVE-2025-6976?
Alle WordPress installaties gebruikmakend van de “Events Manager – Calendar, Bookings, Tickets, and more!” plugin tot en met versie 7.0.3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen specifiek vermelde oplossing. We raden aan om contact te houden met de plugin-ontwikkelaar voor verdere updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller met de juiste toegangsniveaus kan in staat zijn om kwaadaardige webscripts in te voegen die automatisch worden uitgevoerd wanneer een gebruiker de besmette pagina’s bezoekt, wat leidt tot mogelijke gegevensdiefstal of andere ongewenste gevolgen.
