De Gutenberg Blocks met AI van Kadence WP voor WordPress vertoont een kwetsbaarheid die Cross-Site Scripting (XSS) mogelijk maakt in alle versies tot en met 3.5.10. Dit lek, bekend als CVE-2025-5678, kan door een geauthenticeerde aanvaller met minimaal medewerkerstoegang worden misbruikt om schadelijke scripts op een webpagina te injecteren.
De kwetsbaarheid ontstaat door onvoldoende inputontijdiging en output-escaping binnen de parameter ‘redirectURL’, waardoor kwaadwillenden de mogelijkheid hebben om scripts te plaatsen die worden uitgevoerd elke keer wanneer een gebruiker de geïnjecteerde pagina bezoekt.
Overzicht
- Kwetsbare plugin: Gutenberg Blocks met AI door Kadence WP – Pagina Builder Functies
- Versies aangedaan: <= 3.5.10
- Type kwetsbaarheid: Stored Cross-Site Scripting (CWE-79)
- Basis CVSS-score: 6.4 (Medium)
- Ontdekker: Asaf Mozes
- Ontdekt op: 28 mei 2025
Aanbevelingen
- Controleer of u de nieuwste versie van de plugin draait en update indien nodig.
- Zorg ervoor dat u een WAF (Web Application Firewall) activeert om verdachte activiteiten te blokkeren.
Vraag en Antwoord
Wat is CVE-2025-5678?
CVE-2025-5678 is een id voor een beveiligingslek dat betrekking heeft op een Stored Cross-Site Scripting kwetsbaarheid in de plugin Gutenberg Blocks met AI door Kadence WP.
Welke systemen zijn kwetsbaar voor CVE-2025-5678?
WordPress-installaties die de aangedane plugin versie 3.5.10 of lager draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het is belangrijk om de plugin te updaten naar de nieuwste versie zodra deze beschikbaar is. Controleer regelmatig de updates van de pluginontwikkelaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts op de website injecteren, die worden uitgevoerd wanneer een gebruiker de betreffende pagina bezoekt, mogelijk leidend tot gestolen sessies of gegevens.
