De Taeggie Feed-plugin voor WordPress bevat een kwetsbaarheid voor Stored Cross-Site Scripting (XSS) in alle versies tot en met 0.1.10. Dit kan worden misbruikt door geauthenticeerde aanvallers met bijdragerniveau of hoger. Zij kunnen willekeurige webscripts injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt. Door deze kwetsbaarheid kan een aanvaller zonder uw weten toegang krijgen tot gevoelige gegevens.
Overzicht
Het probleem ligt bij de render() methode van de plugin, die ingevoerde gebruikersgegevens direct in een <script> tag injecteert zonder de juiste escape-sequenties toe te passen. Hierdoor ontstaat de mogelijkheid voor een Stored XSS-aanval.
Versies: * tot en met 0.1.10
Aanbevelingen
- Update naar een nieuwere versie die niet kwetsbaar is zodra beschikbaar.
- Beperk toegang tot de plugin, vooral voor gebruikers met slechts een bijdragerniveau.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6382?
CVE-2025-6382 betreft een beveiligingslek genaamd Cross-Site Scripting in de Taeggie Feed-plugin, die aanvallers in staat stelt schadelijke scripts in webpagina’s in te voegen.
Welke systemen zijn kwetsbaar voor CVE-2025-6382?
Alle systemen die gebruikmaken van de Taeggie Feed-plugin versie 0.1.10 of eerder.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er nog geen patch beschikbaar. Controleer regelmatig op updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die worden uitgevoerd bij het openen van een geïnfecteerde pagina, wat kan leiden tot gegevensdiefstal of verdere aanvallen.
