Een nieuw beveiligingslek, CVE-2025-4608, is aangetroffen in de WordPress-plugin Structured Content (JSON-LD) van de leverancier Codemacher. Dit lek betreft een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid in versies tot en met 1.6.4. Hierdoor kunnen authentieke aanvallers met toegangsniveau ‘Contributor’ of hoger, schadelijke scripts toevoegen aan webpagina’s die worden uitgevoerd wanneer een gebruiker de aangetaste pagina bezoekt.
Overzicht
De kwetsbaarheid in de plugin wordt veroorzaakt door onvoldoende input-schoonmaak en output-escaping in de sc_fs_local_business shortcode. Dit kan leiden tot XSS-aanvallen die de vertrouwelijkheid en integriteit van de webpagina’s beïnvloeden. De Common Weakness Enumeration (CWE) heeft deze kwetsbaarheid geregistreerd als CWE-79.
Aanbevelingen
- Upgrade de plugin naar een nieuwere versie zodra deze beschikbaar is.
- Controleer en beperk de toegangsniveaus voor gebruikers die bijdragen aan uw WordPress-site.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-4608?
CVE-2025-4608 is een beveiligingslek in de Structured Content plugin voor WordPress waardoor een aanvaller XSS-aanvallen kan uitvoeren via de sc_fs_local_business shortcode.
Welke systemen zijn kwetsbaar voor CVE-2025-4608?
Alle versies van de Structured Content plugin tot en met 1.6.4 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het wordt aanbevolen om de plugin bij te werken naar een nieuwere versie zodra deze beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts insluiten op pagina’s, die worden uitgevoerd elke keer wanneer een gebruiker de getroffen pagina’s bezoekt, wat kan leiden tot diefstal van sessiecookies, vertrouwelijke gegevenslekken, of andere schadelijke acties.
