Er is een kritisch beveiligingslek ontdekt in de Ogulo – 360° Tour plugin voor WordPress, geïdentificeerd als CVE-2025-9131. Dit betreft een opgeslagen Cross-Site Scripting kwetsbaarheid in alle versies tot en met 1.0.11, wat aanvallers met geldig account op niveau ‘Bijdrager’ of hoger in staat stelt om schadelijke scripts in te voegen die worden uitgevoerd wanneer een geïnjecteerde pagina wordt geopend. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens binnen uw WordPress site.
Overzicht
Het beveiligingslek treedt op door onvoldoende in- en outputsanitatie bij de ‘slug’ parameter in de plugin. De kwetsbaarheid heeft een CVSS-score van 6.4, wat het als een middelmatig risico beoordeelt, maar de impact kan aanzienlijk zijn, vooral doordat meerdere gebruikers kunnen worden getroffen.
Aanbevelingen
- Update de Ogulo – 360° Tour plugin naar een versie hoger dan 1.0.11 zodra er een patch beschikbaar komt.
- Beperk toegang tot de plugin-instellingen tot alleen vertrouwde gebruikers en verlaag onnodige rechten van bijdragers.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9131?
CVE-2025-9131 betreft een beveiligingslek in de Ogulo – 360° Tour WordPress plugin waarbij aanvallers scripts kunnen injecteren door middel van de ‘slug’ parameter.
Welke systemen zijn kwetsbaar voor CVE-2025-9131?
Alle WordPress sites die gebruik maken van de Ogulo – 360° Tour plugin tot en met versie 1.0.11 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen officiële patch uitgebracht. Het advies is om de plugin niet te gebruiken tot er een geüpdatete versie beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd bij het openen van een geïnfecteerde pagina, met potentieel ernstige gevolgen voor data-integriteit en gebruikersprivacy.
