Er is een kritieke kwetsbaarheid ontdekt in de WordPress-plugin Nexter Blocks die alle versies tot en met 4.5.4 beïnvloedt. Door onvoldoende input-sanitatie en output-escaping kunnen geauthenticeerde aanvallers, met ten minste bijdrager-niveau, kwaadaardige scripts injecteren. Deze scripts worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina opent, waardoor risico’s op bijvoorbeeld gegevensdiefstal bestaan.
Overzicht
De kwetsbaarheid CVE-2025-8567 betreft een Opgeslagen Cross-Site Scripting (XSS) probleem in de Nexter Blocks plugin van WordPress. Dit probleem komt voor in meerdere widgets als gevolg van onvoldoende neutralisatie van user-supplied attributen.
Aanbevelingen
- Update onmiddellijk naar een nieuwere versie van de Nexter Blocks plugin zodra deze beschikbaar is.
- Zorg ervoor dat alle gebruikers met bijdrager-toegang samenwerken met betrouwbare inhoud.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8567?
Dit is een kwetsbaarheid in de Nexter Blocks plugin, welke geauthenticeerde aanvallers toestaat XSS-aanvallen uit te voeren via meerdere widgets.
Welke systemen zijn kwetsbaar voor CVE-2025-8567?
Systemen met de Nexter Blocks plugin versie 4.5.4 of lager van WordPress.
Bestaat er al een patch of beveiligingsupdate?
Er wordt aangeraden om te updaten naar een nieuwere versie zodra deze beschikbaar komt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die worden uitgevoerd bij elk bezoek aan een geïnjecteerde pagina, met potentiële gevolgen zoals gegevensdiefstal.
