CVE-2025-9989: XSS in Broadstreet WordPress Plugin
Platform
wordpress
Component
broadstreet
Opgelost in
1.53.2
De Broadstreet plugin voor WordPress vertoont een Stored Cross-Site Scripting (XSS) kwetsbaarheid. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers met administrator-level rechten om willekeurige webscripts te injecteren in pagina's. De kwetsbaarheid is aanwezig in alle versies tot en met 1.53.1 en treedt alleen op in multi-site installaties en installaties waar unfiltered_html is uitgeschakeld. Een update naar versie 1.53.2 is beschikbaar om deze kwetsbaarheid te verhelpen.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een aanvaller in staat om kwaadaardige JavaScript-code uit te voeren in de context van de gebruiker. Dit kan leiden tot verschillende schadelijke acties, zoals het stelen van cookies, het omleiden van gebruikers naar kwaadaardige websites, het wijzigen van de inhoud van de website of het uitvoeren van acties namens de gebruiker. Aangezien de kwetsbaarheid vereist dat de aanvaller administrator-level rechten heeft, is de potentiële impact aanzienlijk, met name in omgevingen waar meerdere gebruikers toegang hebben tot de WordPress-beheerinterface. De impact wordt verder vergroot in multi-site installaties, waar een succesvolle exploitatie de mogelijkheid biedt om meerdere websites te compromitteren.
Uitbuitingscontext
Er zijn momenteel geen publieke exploits bekend voor CVE-2025-9989. De kwetsbaarheid is gepubliceerd op 2026-05-12 en de CVSS score is MEDIUM (4.4). Het is aan te raden om de plugin te updaten om te voorkomen dat deze kwetsbaar is voor potentiële toekomstige exploits. De kans op exploitatie is momenteel laag, maar kan toenemen naarmate de kwetsbaarheid meer bekendheid krijgt.
Dreigingsinformatie
Exploit Status
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Hoog — beheerder of geprivilegieerd account vereist.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
Mitigatie en Workarounds
De primaire mitigatie voor deze kwetsbaarheid is het updaten van de Broadstreet plugin naar versie 1.53.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin of het beperken van de toegang tot de admin-instellingen. Het implementeren van een Web Application Firewall (WAF) kan helpen om kwaadaardige scripts te detecteren en te blokkeren voordat ze worden uitgevoerd. Controleer de WordPress-configuratie om te verzekeren dat unfiltered_html uitgeschakeld is, aangezien deze instelling de kwetsbaarheid kan verergeren. Na de upgrade, controleer de plugin-instellingen en logbestanden op verdachte activiteit.
Hoe te verhelpen
Update naar versie 1.53.2, of een nieuwere gepatchte versie
Veelgestelde vragen
Wat is CVE-2025-9989 — XSS in Broadstreet WordPress Plugin?
CVE-2025-9989 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Broadstreet WordPress plugin, waardoor geauthenticeerde aanvallers scripts kunnen injecteren. De CVSS score is 4.4 (MEDIUM).
Ben ik getroffen door CVE-2025-9989 in Broadstreet WordPress Plugin?
Ja, als u de Broadstreet plugin gebruikt in versie 1.53.1 of lager, en uw installatie is een multi-site installatie of unfiltered_html is uitgeschakeld, bent u getroffen.
Hoe kan ik CVE-2025-9989 in Broadstreet WordPress Plugin oplossen?
Update de Broadstreet plugin naar versie 1.53.2 of hoger. Overweeg tijdelijke mitigaties zoals het uitschakelen van de plugin of het beperken van toegang tot admin-instellingen.
Wordt CVE-2025-9989 actief misbruikt?
Er zijn momenteel geen publieke exploits bekend, maar het is aan te raden om de plugin te updaten om te voorkomen dat deze kwetsbaar is voor potentiële toekomstige exploits.
Waar kan ik de officiële Broadstreet WordPress advisory voor CVE-2025-9989 vinden?
Raadpleeg de WordPress plugin directory of de website van de plugin-ontwikkelaar voor de meest recente informatie en updates.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Scan nu uw WordPress project — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...