Een belangrijke kwetsbaarheid, aangeduid als CVE-2025-6385, is ontdekt in de WP Applink plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor aanvallers met ten minste Contributor-toegang om schadelijke scripts in te voegen die worden uitgevoerd wanneer een gebruiker een geïnfecteerde pagina bezoekt. Alle versies tot en met 0.4.1 zijn getroffen, waardoor het van cruciaal belang is om deze kwestie direct aan te pakken.
Overzicht
De WP Applink plugin heeft te maken met een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid door onvoldoende input sanitisatie en output escaping. Dit stelt aanvallers in staat om willekeurige webscripts in te voeren via de ’title’ parameter. De kwetsbaarheid heeft een CVSS basiscore van 6.4, wat aangeeft dat deze middelmatig ernstig is.
Aanbevelingen
- Update de WP Applink plugin naar een versie hoger dan 0.4.1 zodra een dergelijke update beschikbaar is.
- Voorlopig, beperk de toegang van gebruikers met Contributor rechten totdat een patch is uitgebracht.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6385?
Het is een kwetsbaarheid in de WP Applink plugin die Cross-Site Scripting mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-6385?
Alle installaties van de plugin WP Applink tot en met versie 0.4.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen update beschikbaar. Wees alert op verdere aankondigingen van de ontwikkelaars.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts uitvoeren die worden getriggerd wanneer een gebruiker een geïnjecteerde pagina bezoekt, wat kan leiden tot gegevensdiefstal of manipulatie.
