De WordPress plugin ‘Crowdfunding for WooCommerce’ van wpwham is kwetsbaar voor een opgeslagen Cross-Site Scripting (XSS) aanval via de ‘width’ parameter. Deze kwetsbaarheid is aanwezig in alle versies tot en met 3.1.14. Geauthenticeerde aanvallers met ten minste ‘Contributor’ rechten kunnen willekeurige webscripts injecteren, die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt.
Overzicht
Deze kwetsbaarheid wordt veroorzaakt door onvoldoende input-sanitatie en output-escape als gevolg van CVE-2025-5767, waarbij het mogelijk is om via de ‘width’ parameter scripts te injecteren.
Aanbevelingen
- Update naar de nieuwste versie van ‘Crowdfunding for WooCommerce’ zodra deze beschikbaar is om deze kwetsbaarheid te mitigeren.
- Beperk de toegang tot de plugin voor gebruikers met ‘Contributor’ rechten zolang er geen update beschikbaar is.
Bronnen
- Lees meer over de kwetsbaarheid op Wordfence
- Code details op WordPress Trac
- Plugin informatie op WordPress.org
Vraag en Antwoord
Wat is CVE-2025-5767?
CVE-2025-5767 beschrijft een kwetsbaarheid in de ‘Crowdfunding for WooCommerce’ plugin, die Cross-Site Scripting mogelijk maakt door inadequate input-sanitatie.
Welke systemen zijn kwetsbaar voor CVE-2025-5767?
Alle systemen die de ‘Crowdfunding for WooCommerce’ plugin versie 3.1.14 of lager gebruiken, zijn kwetsbaar. Andere versies kunnen unaffected zijn afhankelijk van updates die daarna mogelijk zijn uitgebracht.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er geen specifieke melding van een patch of update. Controleer regelmatig op updates en patch zo snel mogelijk.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die gebruikers volgen of toegang krijgen tot gevoelige gegevens wanneer een geïnfecteerde pagina wordt bezocht.
