Er is een ernstige kwetsbaarheid ontdekt in de plugin WP Event Manager voor WordPress. Deze kwetsbaarheid, aangeduid als CVE-2025-2800, betreft een Stored Cross-Site Scripting (XSS) gebrek in alle versies tot en met 3.1.50. Onvoldoende invoersanitisatie en outputescaping in de parameter organizer_name maken het mogelijk voor niet-geauthenticeerde aanvallers om willekeurige webscripts in pagina’s in te voegen. Deze scripts worden uitgevoerd telkens wanneer een gebruiker een geïnjecteerde pagina bezoekt, waardoor gevoelige informatie kan worden buitgemaakt.
Overzicht
De plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets met WooCommerce is kwetsbaar voor gehackte scripts via inadequate invoersanitisatie en outputescaping van organizer_name. Met een CVSS base score van 7.2, wordt dit als een hoge risico kwetsbaarheid beschouwd.
Versie lichting: <= 3.1.50
Aanbevelingen
- Werk de plugin bij naar een versie hoger dan 3.1.50
- Zorg ervoor dat uw WordPress-omgeving regelmatig wordt gecontroleerd op updates en patches.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-2800?
Een opgeslagen Cross-Site Scripting-kwetsbaarheid die het mogelijk maakt voor aanvallers om scripts toe te voegen aan geïnfecteerde pagina's zonder authenticatie.
Welke systemen zijn kwetsbaar voor CVE-2025-2800?
Versies tot en met 3.1.50 van de WP Event Manager plugin voor WordPress zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, u moet updaten naar een versie hoger dan 3.1.50 om bescherming tegen deze kwetsbaarheid te garanderen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd wanneer een gebruiker de geïnfecteerde pagina bezoekt, wat kan leiden tot diefstal van sessiegegevens en andere schadelijke activiteiten.
