Een kritieke kwetsbaarheid is ontdekt in de WordPress-plugin Strong Testimonials, versie 3.2.11 en ouder. Deze kwetsbaarheid, aangeduid als CVE-2025-7367, laat toe dat geauthenticeerde aanvallers met Auteur-toegang en hoger, kwaadaardige scripts opslaan die worden uitgevoerd zodra een gebruiker een geïnfecteerde pagina bezoekt.
De oorzaak ligt in onvoldoende inputvalidatie en output escaping, waardoor kwaadwillenden de mogelijkheid hebben om willekeurige webscripts in pagina’s te injecteren.
Overzicht
De kwetsbaarheid, gemarkeerd als CWE-79: Improper Neutralization of Input During Web Page Generation, beïnvloedt alle versies tot en met 3.2.11. Het risico hiervan is aangemerkt als medium met een CVSS-score van 6.4.
Aanbevelingen
- Update onmiddellijk naar een nieuwere versie zodra deze beschikbaar is.
- Beperk de toegang tot Auteur-niveau of verwijder gebruikers met ongewenste rechten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7367?
Het is een kwetsbaarheid die toelaat dat aanvallers scripts injecteren en opslaan via aangepaste velden dankzij gebrekkige inputvalidatie.
Welke systemen zijn kwetsbaar voor CVE-2025-7367?
Alle installaties van Strong Testimonials plugin versie 3.2.11 en ouder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer op updates in het plugin-onderhoud van WordPress en update onmiddellijk naar de laatste versie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injiceren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt, eventueel om kwaadaardige doelen te bereiken.
