Een kritieke kwetsbaarheid, CVE-2025-8071, is ontdekt in de Mine CloudVod-plugin voor WordPress, waardoor aanvallers met contributor-level toegang kwaadaardige scripts kunnen injecteren via de ‘audio’-parameter. Dit kan leiden tot ongeautoriseerde uitvoering van scripts zodra een gebruiker een geïnjecteerde pagina bezoekt. Dit betreft alle versies tot en met 2.1.10.
Overzicht
De kwetsbaarheid is ontstaan door onvoldoende input-sanitatie en output-escalatie mechanismen in de plugin, waardoor Cross-Site Scripting mogelijk is. Het issue heeft een CVSS-score van 6.4, wat duidt op een middelmatig risico.
Aanbevelingen
- Update de Mine CloudVod-plugin naar een versie hoger dan 2.1.10 zodra deze beschikbaar is.
- Beperk het gebruik van contributor-accounts tot een minimum en zorg ervoor dat gebruikers geen onnodige toegang hebben.
Bronnen
- Wordfence Threat Intelligence
- Plugin Pagina op WordPress.org
- Technische details op WordPress Plugins Trac
Vraag en Antwoord
Wat is CVE-2025-8071?
CVE-2025-8071 is een kwetsbaarheid in de Mine CloudVod plugin, waarbij Cross-Site Scripting mogelijk is via de ‘audio’-parameter.
Welke systemen zijn kwetsbaar voor CVE-2025-8071?
Alle WordPress installaties die gebruikmaken van de Mine CloudVod-plugin tot en met versie 2.1.10 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Nog niet, maar houd de plugin-ontwikkelaar en WordPress-updates in de gaten voor een snelde patch.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd wanneer een geïnfecteerde pagina wordt bezocht, wat kan leiden tot diefstal van gebruikersgegevens of verdere besmetting van het netwerk.
