De WordPress-plugin Live Stream Badger, tot en met versie 1.4.3, is vatbaar voor een opgeslagen Cross-Site Scripting (XSS) aanval. Dit probleem ontstaat door onvoldoende inputvalidatie en output escaping binnen de ‘livestream’ shortcode. Hierdoor kunnen geauthenticeerde aanvallers met minimaal ‘Contributor’-niveau willekeurige webscripts injecteren in pagina’s.
Dit betekent dat een aanvaller scripts kan invoegen die worden uitgevoerd wanneer een gebruiker de geïnjecteerde pagina opent, wat de aanvalsmogelijkheden significant uitbreidt.
Overzicht
De kwetsbaarheid vindt zijn oorsprong in de gebrekkige neutralisatie van gebruikersinvoer tijdens het genereren van webpagina’s binnen de plugin. Dit type kwetsbaarheid staat bekend als CWE-79.
CVE-2025-7655, CVSS Score: 6.4
Aanbevelingen
- Update de plugin tot een versie nieuwere dan 1.4.3 zodra mogelijk, indien beschikbaar.
- Verwijder niet-vertrouwde gebruikers met ‘Contributor’-niveaurechten om de risico’s te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7655?
Dit is een storing in de Live Stream Badger plugin die leidt tot stored XSS via onvoldoende gesanitiseerde inputs.
Welke systemen zijn kwetsbaar voor CVE-2025-7655?
Alle versies van de Live Stream Badger plugin tot en met 1.4.3 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er geen patch beschikbaar. Verwijder of beperk plugin toegang voor niet-vertrouwde gebruikers.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd wanneer een geïnjecteerde pagina wordt geopend. Dit kan leiden tot gestolen gebruikersgegevens of andere schadelijke effecten.
