De WordPress plugin ‘Testimonial Post type’, ontwikkeld door juiiee8487, bevat een ernstig beveiligingslek: een opgeslagen Cross-Site Scripting (XSS) via de ‘auto_play’ parameter in alle versies tot en met 1.2.1. Dit geeft aanvallers met Contributor-toegang de mogelijkheid om kwaadaardige scripts te injecteren op pagina’s.
Dit CVE-2025-5800 lek is geclassificeerd met een CVSS-score van 6.4, wat betekent dat het een middelmatig risico vormt, maar alsnog serieuze gevolgen kan hebben als de kwetsbaarheid wordt misbruikt. Een aanvaller kan mogelijk toegang krijgen tot gevoelige informatie zodra een gecompromitteerde pagina wordt bezocht.
Overzicht
De kwetsbaarheid heeft betrekking op onvoldoende inputvalidatie en output escaping, wat XSS-aanvallen mogelijk maakt. Dit raakt alle plug-inversies tot en met versie 1.2.1 van de ‘Testimonial Post type’ plugin.
Aanbevelingen
- Update onmiddellijk naar de nieuwste versie van de ‘Testimonial Post type’ plugin zodra deze beschikbaar is.
- Beperk de toegang van gebruikers met Contributor-rechten tot het absoluut noodzakelijke.
- Voer regelmatig beveiligingsaudits uit van uw WordPress- omgeving om kwetsbaarheden te identificeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5800?
Het betreft een opgeslagen XSS-kwetsbaarheid in de ‘Testimonial Post type’ plugin waardoor scripts ingesloten kunnen worden op een pagina.
Welke systemen zijn kwetsbaar voor CVE-2025-5800?
Alle WordPress-systemen die gebruik maken van de ‘Testimonial Post type’ plugin, versie 1.2.1 en ouder, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is het essentieel om naar een bijgestelde versie te updaten zodra deze beschikbaar is gesteld door de pluginontwikkelaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts insluiten die draaien wanneer een gebruiker de gecompromitteerde pagina bezoekt, mogelijk toegang verkrijgend tot gebruikersgegevens of andere gevoelige informatie.
