Een kritieke kwetsbaarheid, CVE-2025-8622, is ontdekt in het Flexible Map plugin voor WordPress. Deze kwetsbaarheid betreft Stored Cross-Site Scripting (XSS) via de plugin’s Flexible Maps shortcode en treft alle versies tot en met 1.18.0. Hierdoor kunnen geauthentiseerde aanvallers met toegang als bijdrager of hoger willekeurige webscripts injecteren op pagina’s. Deze scripts worden uitgevoerd zodra een gebruiker een geïnjecteerde pagina opent.
Overzicht
Het probleem ligt in het gebrek aan juiste inputsanering en outputescaping binnen gebruikersattributen. Dit maakt het mogelijk om scripts in te voegen die uitgevoerd worden bij het openen van geïnjecteerde pagina’s. Hierdoor kan een aanvaller gevoelige gegevens van gebruikers onderscheppen of het gedrag van hun browser manipuleren.
Aanbevelingen
- Update de Flexible Map plugin naar een versie voorbij 1.18.0 zodra er een patch beschikbaar is.
- Beperk de toegangsrechten van gebruikersaccounts; voorkom dat gebruikers onnodig bijdrager- of hoger toegang krijgen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8622?
CVE-2025-8622 is een kwetsbaarheid in de Flexible Map plugin voor WordPress die gevoelig is voor Stored Cross-Site Scripting via de Flexible Maps shortcode.
Welke systemen zijn kwetsbaar voor CVE-2025-8622?
Alle WordPress installaties die gebruikmaken van de Flexible Map plugin versies tot en met 1.18.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er nog geen patch beschikbaar, maar het is essentieel om de plugin bij te werken zodra een update uitgegeven wordt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die uitvoeren wanneer een pagina met de geïnjecteerde code wordt geopend, mogelijk toegang verkrijgen tot gevoelige gegevens of het gedrag van de browser manipuleren.
Zorg ervoor dat uw systeem vandaag nog gecontroleerd wordt!
