Een belangrijk beveiligingslek, CVE-2025-8783, is ontdekt in de Contact Manager plugin voor WordPress. Deze kwetsbaarheid betreft een Opgeslagen Cross-Site Scripting (XSS) via de ’title’ parameter, waardoor een aanvaller met beheerderstoegang kwaadaardige scripts kan injecteren. Hierdoor lopen multisite-installaties het risico op ongeautoriseerde toegang.
Overzicht
De Contact Manager plugin tot en met versie 8.6.5 lijdt aan onvoldoende inputvalidatie, waardoor beheerder (of hoger) rechten op multisite-omgevingen deze kwetsbaarheid kunnen misbruiken. Het risico neemt toe wanneer unfiltered_html is uitgeschakeld.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8783?
Dit is een specifieke kwetsbaarheid binnen de Contact Manager plugin voor WordPress die opgeslagen XSS-aanvallen mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-8783?
Alle WordPress installs met de Contact Manager plugin tot en met versie 8.6.5 zijn mogelijk kwetsbaar in multisite-omgevingen.
Bestaat er al een patch of beveiligingsupdate?
controleer de updates van de plugin via de officiële WordPress plugin repository en werk de plugin zo spoedig mogelijk bij indien een update beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd wanneer gebruikers een besmette pagina openen, wat tot beveiligingsproblemen kan leiden.
