CVE-2025-9989: XSS in Broadstreet WordPress Plugin
Plattform
wordpress
Komponente
broadstreet
Behoben in
1.53.2
CVE-2025-9989 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in the Broadstreet WordPress plugin. This vulnerability allows authenticated attackers with administrator-level permissions to inject arbitrary web scripts into pages. The impact is limited to multi-site installations where the unfiltered_html option has been disabled, and affects versions up to and including 1.53.1. A patch is available in version 1.53.2.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarien
Successful exploitation of CVE-2025-9989 allows an attacker to execute arbitrary JavaScript code within the context of a user's browser. This can lead to various malicious actions, including session hijacking, defacement of the website, redirection to phishing sites, and theft of sensitive user data like cookies and authentication tokens. The attacker needs administrator privileges and the unfiltered_html option must be disabled for the vulnerability to be exploitable. The blast radius is limited to users accessing pages containing the injected script within the affected multi-site installation.
Ausnutzungskontext
CVE-2025-9989 is currently not listed on KEV or EPSS, indicating a low to medium probability of active exploitation. Public proof-of-concept (POC) code is not widely available. The vulnerability was published on 2026-05-12, and there are no immediate reports of active campaigns targeting this specific flaw. Refer to the official WordPress security advisory for further details.
Bedrohungsanalyse
Exploit-Status
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
- Privileges Required
- Hoch — Administrator- oder Privilegienkonto erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
- Confidentiality
- Niedrig — partieller oder indirekter Zugriff auf einige Daten.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserved
- Veröffentlicht
- Geändert
Mitigation und Workarounds
The primary mitigation for CVE-2025-9989 is to upgrade the Broadstreet WordPress plugin to version 1.53.2 or later. If upgrading is not immediately feasible, consider temporarily disabling the unfiltered_html option within the plugin's settings. While this will impact functionality, it will prevent the injection of malicious scripts. Implement a Web Application Firewall (WAF) with rules to detect and block XSS attempts targeting the plugin's admin settings. After upgrading, verify the fix by attempting to inject a simple JavaScript payload through the admin settings and confirming that it is not executed.
So beheben
Aktualisieren Sie auf Version 1.53.2 oder eine neuere gepatchte Version
Häufig gestellte Fragen
What is CVE-2025-9989 — XSS in Broadstreet WordPress Plugin?
CVE-2025-9989 is a Stored Cross-Site Scripting (XSS) vulnerability affecting the Broadstreet WordPress plugin. It allows authenticated administrators to inject malicious scripts into pages, impacting multi-site installations with unfiltered_html disabled.
Am I affected by CVE-2025-9989 in Broadstreet WordPress Plugin?
You are affected if you are using the Broadstreet WordPress plugin in versions 1.53.1 or earlier, and your installation is a multi-site setup with the unfiltered_html option disabled.
How do I fix CVE-2025-9989 in Broadstreet WordPress Plugin?
Upgrade the Broadstreet WordPress plugin to version 1.53.2 or later. As a temporary workaround, disable the unfiltered_html option within the plugin's settings.
Is CVE-2025-9989 being actively exploited?
There are currently no widespread reports of active exploitation campaigns targeting CVE-2025-9989, but vigilance is still advised.
Where can I find the official Broadstreet advisory for CVE-2025-9989?
Refer to the official WordPress security advisory and the Broadstreet plugin's website for the latest information and updates regarding CVE-2025-9989.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...