Er is een belangrijke kwetsbaarheid ontdekt in de WordPress plugin ‘Terms descriptions’. CVE-2025-6719 betreft een Stored Cross-Site Scripting (XSS) kwetsbaarheid die van toepassing is op alle versies tot en met 3.4.8. Deze kwetsbaarheid kan worden misbruikt door aanvallers met admin-rechten om schadelijke scripts in webpagina’s te injecteren, wat gevaarlijk is voor gebruikers van multi-site installaties en wanneer unfiltered_html is uitgeschakeld.
Overzicht
De kwetsbaarheid stelt aanvallers in staat scriptcodes in te voegen die worden uitgevoerd zodra een gebruiker een geïnfecteerde pagina opent. Dit is mogelijk door onvoldoende inputvalidatie en output escaping binnen de plugininstellingen.
Aanbevelingen
- Upgrade direct de plugin ‘Terms descriptions’ naar een versie hoger dan 3.4.8.
- Zorg ervoor dat de
unfiltered_htmloptie alleen voor vertrouwde gebruikers beschikbaar is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6719?
CVE-2025-6719 is een beveiligingskwetsbaarheid binnen de WordPress plugin ‘Terms descriptions’ die zorgt voor een Stored Cross-Site Scripting (XSS) aanvalsmogelijkheid.
Welke systemen zijn kwetsbaar voor CVE-2025-6719?
De kwetsbaarheid treft multi-site WordPress installaties die gebruik maken van de ‘Terms descriptions’ plugin tot en met versie 3.4.8.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om de plugin bij te werken naar een versie hoger dan 3.4.8 om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die worden uitgevoerd bij toegang tot geïnfecteerde pagina’s, wat kan leiden tot datadiefstal of andere ongewenste acties.
