Er is een kritieke kwetsbaarheid ontdekt in de plugin WP Get The Table voor WordPress, aangeduid met CVE-2025-6387. Deze kwetsbaarheid, die alle versies tot en met 1.5 treft, kan door een aanvaller met een Contributor-account worden misbruikt om schadelijke scripts in te voegen. Hierdoor kunnen andere gebruikers, bij het openen van geïnfecteerde pagina’s, zonder het te weten deze scripts activeren.
Overzicht
De kwetsbaarheid betreft Stored Cross-Site Scripting (XSS) via de ‘url’ parameter. Door onvoldoende input sanering en output escaping kunnen aanvallers scripts injecteren die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt.
Aanbevelingen
- Update de plugin naar de nieuwste versie zodra een fix beschikbaar is.
- Beperk de toegang tot Contributor-niveau indien mogelijk.
- Controleer regelmatig op updates en beveiligingsadviezen van pluginontwikkelaars.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6387?
CVE-2025-6387 is een bekend beveiligingslek in de WP Get The Table plugin met betrekking tot opgeslagen Cross-Site Scripting.
Welke systemen zijn kwetsbaar voor CVE-2025-6387?
Alle systemen die de WP Get The Table plugin versie 1.5 of lager gebruiken zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publicatie is er nog geen patch. Het is aan te raden regelmatig op updates te controleren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die bij het bezoeken van een geïnfecteerde pagina door een andere gebruiker worden uitgevoerd, wat kan leiden tot gegevensdiefstal of verdere compromittering van de site.
