Er is een beveiligingslek ontdekt in de WP Event Manager plugin, versie 3.1.49 en lager, die leidt tot opgeslagen Cross-Site Scripting (XSS). Dit probleem ontstaat door onvoldoende invoervalidatie en uitvoer escaping van de parameter tag-name, waardoor het mogelijk is voor aanvallers met beheerdersrechten om kwaadaardige scripts in pagina’s te injecteren. Deze kwetsbaarheid is vooral aanwezig in multi-site installaties en bij installaties waar unfiltered_html is uitgeschakeld.
Overzicht
De kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige scripts in te voegen die worden uitgevoerd wanneer gebruikers een geïnfecteerde pagina openen. Dit kan leiden tot het compromitteren van de site en het verzamelen van gebruikersgegevens.
Aanbevelingen
- Update naar de nieuwste versie van WP Event Manager om deze kwetsbaarheid te verhelpen.
- Controleer configuraties van multi-site installaties en zorg ervoor dat
unfiltered_htmlcorrect is ingeschakeld.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-2799?
Dit is een unieke identifier voor de opgespoorde kwetsbaarheid in de WP Event Manager plugin, waarbij beveiligingslekken zijn gevonden die leiden tot opgeslagen XSS.
Welke systemen zijn kwetsbaar voor CVE-2025-2799?
Zowel multi-site installaties als normale installaties van WP Event Manager versie 3.1.49 en lager zijn kwetsbaar, vooral wanneer unfiltered_html is uitgeschakeld.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt sterk aangeraden om te updaten naar de meest recente versie van WP Event Manager om de kwetsbaarheid te neutraliseren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die worden uitgevoerd wanneer gebruikers een besmette pagina openen, waardoor gevoelige informatie kan worden gestolen of het systeem kan worden beschadigd.
