De JS Archive List-plugin voor WordPress bevat een kritieke kwetsbaarheid (CVE-2025-7670) die het mogelijk maakt voor ongeauthenticeerde aanvallers om SQL-injecties uit te voeren via de build_sql_where() functie. Dit probleem betreft alle versies tot en met 6.1.5. Aanvallers kunnen hierdoor gevoelige informatie uit de database extraheren zonder uw medeweten.
Overzicht
De kwetsbaarheid wordt veroorzaakt door onvoldoende ontsnapping van gebruikersinvoerpaden en een gebrek aan voldoende voorbereiding van de bestaande SQL-query’s.
Aanbevelingen
- Werk de JS Archive List plugin bij naar een versie hoger dan 6.1.5 zodra een update beschikbaar is.
- Monitor uw systemen op verdachte activiteiten en wijzig beheerderstoegangsgegevens indien nodig.
Bronnen
- Meer informatie bij Wordfence
- Plugin code
- WordPress Plugin Pagina
- Github Commit Details
- Plugin Changeset
Vraag en Antwoord
Wat is CVE-2025-7670?
CVE-2025-7670 is een kwetsbaarheid in de WordPress plugin JS Archive List die ongeauthenticeerde SQL-injecties mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-7670?
Alle systemen met de JS Archive List plugin versie 6.1.5 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen patch beschikbaar. Het wordt aangeraden om de plugin te updaten zodra een nieuwe release verschijnt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige informatie uit de database extraheren zonder toestemming, wat kan leiden tot gegevensdiefstal.
