De Qi Addons for Elementor plugin voor WordPress is kwetsbaar voor opgeslagen Cross-Site Scripting (XSS) via de TypeOut Text widget. Deze kwetsbaarheid treft alle versies tot en met 1.9.2 als gevolg van onvoldoende invoervalidatie en uitvoerfiltratie. Geauthenticeerde gebruikers met toegangsniveau van bijdrager en hoger kunnen willekeurige webscripts injecteren die worden uitgevoerd wanneer iemand een geïnfecteerde pagina opent.
Overzicht
Deze kwetsbaarheid, geïdentificeerd als CVE-2025-8146, houdt verband met onvoldoende neutralisatie van invoer tijdens de generatie van webpagina’s (CWE-79). Met een CVSS-score van 6.4 betreft het een middelhoge risico classering.
Aanbevelingen
- Update de Qi Addons for Elementor plugin naar een nieuwere versie zodra deze beschikbaar is.
- Beperk de toegangsniveaus voor gebruikers tot het minimum dat nodig is om hun functie uit te voeren.
- Controleer regelmatig uw WordPress-plugins op beschikbare updates om beveiligingslekken te voorkomen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8146?
CVE-2025-8146 is een kwetsbaarheid die het mogelijk maakt opgeslagen Cross-Site Scripting (XSS) aanvallen uit te voeren via de Qi Addons for Elementor plugin tot en met versie 1.9.2.
Welke systemen zijn kwetsbaar voor CVE-2025-8146?
Alle WordPress-installaties met de Qi Addons for Elementor plugin versie 1.9.2 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Aanbevolen wordt om de plugin te updaten zodra een nieuwe, beveiligde versie beschikbaar wordt gesteld.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan met deze kwetsbaarheid kwaadaardige scripts injecteren die automatisch worden uitgevoerd zodra een gebruiker een gecompromitteerde pagina bezoekt, wat kan leiden tot controle over gegevens en potentiële verspreiding van verdere aanvallen.
