Er is een beveiligingsprobleem ontdekt in de SlingBlocks plugin voor WordPress, versie 1.6.0 en eerder. Dit lek maakt het mogelijk dat aanvallers met toegang op bijdragersniveau schadelijke scripts injecteren. Deze scripts worden uitgevoerd zodra een gebruiker de pagina bekijkt.
Het probleem komt voort uit onvoldoende inputsanering en uitvoer escaping bij de Countdown block’s attributen. Hierdoor kan een aanvaller toegang krijgen tot gevoelige informatie of schadelijke acties uitvoeren op de website.
Overzicht
Het probleem betreft een Stored Cross-Site Scripting (CWE-79) kwetsbaarheid die invloed heeft op versies tot en met 1.6.0 van SlingBlocks. Aanvallers kunnen deze exploit gebruiken om ongeoorloofde scripts in de website te injecteren.
Aanbevelingen
- Zorg ervoor dat de plugin wordt geüpdatet naar een versie hoger dan 1.6.0 zodra deze beschikbaar is.
- Controleer gebruikersrechten en beperk toegang tot alleen noodzakelijke niveaus.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-8607?
Dit is een kwetsbaarheid in de SlingBlocks plugin die cross-site scripting mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-8607?
WordPress-installaties met SlingBlocks versie 1.6.0 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er geen patch beschikbaar. Gebruikers wordt aangeraden om de plugin te controleren voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde scripts injecteren die worden uitgevoerd wanneer een andere gebruiker een geïnfecteerde pagina bezoekt. Dit kan leiden tot het lekken van gevoelige gegevens of het wijzigen van de website.
