Gratis scannen
Analyse in behandelingCVE-2025-14767

CVE-2025-14767: XSS in WPC Badge Management for WooCommerce

Platform

wordpress

Component

wpc-badge-management

Opgelost in

3.1.7

Bekijk op NVD
Opslaan

CVE-2025-14767 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de WPC Badge Management for WooCommerce plugin voor WordPress. Deze kwetsbaarheid stelt geautoriseerde aanvallers in staat om schadelijke webscripts te injecteren via de 'text' attribuut van de wpcbmbestseller shortcode. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 3.1.6. Een update naar versie 3.1.7 lost dit probleem op.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het uitvoeren van kwaadaardige JavaScript code in de browser van een andere gebruiker die een geïnjecteerde pagina bezoekt. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar phishing pagina's, of om de website te defacen. Aangezien de kwetsbaarheid vereist dat de aanvaller Shop Manager-niveau toegang heeft, is de impact beperkt tot gebruikers met deze privileges. De ernst van de impact hangt af van de gevoeligheid van de informatie die via de website wordt verwerkt en de privileges van de getroffen gebruikers.

Uitbuitingscontext

Er zijn momenteel geen publieke exploits bekend voor CVE-2025-14767. De kwetsbaarheid is gepubliceerd op 2026-05-13. De CVSS score is 5.5 (MEDIUM), wat duidt op een gematigd risico. Het is aan te raden om deze kwetsbaarheid te monitoren en zo snel mogelijk te patchen.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

CISA SSVC

Exploitationnone
Automatableno
Technical Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N5.5MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredHighVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Hoog — beheerder of geprivilegieerd account vereist.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentwpc-badge-management
Leverancierwordfence
Minimumversie0.0.0
Maximumversie3.1.6
Opgelost in3.1.7

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Reserved
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2025-14767 is het updaten van de WPC Badge Management for WooCommerce plugin naar versie 3.1.7 of hoger. Indien een directe upgrade niet mogelijk is, kan het tijdelijk beperken van de toegang tot de wpcbmbestseller shortcode helpen om het risico te verminderen. Web Application Firewalls (WAFs) kunnen worden geconfigureerd om XSS pogingen te detecteren en te blokkeren. Controleer de WordPress plugin directory op updates en volg de officiële beveiligingsadviezen van WordPress en de plugin-ontwikkelaar.

Hoe te verhelpen

Update naar versie 3.1.7, of een nieuwere gepatchte versie

Veelgestelde vragen

Wat is CVE-2025-14767 — XSS in WPC Badge Management for WooCommerce?

CVE-2025-14767 is een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de WPC Badge Management for WooCommerce plugin voor WordPress, waardoor geautoriseerde aanvallers schadelijke scripts kunnen injecteren.

Am I affected by CVE-2025-14767 in WPC Badge Management for WooCommerce?

Ja, als u de WPC Badge Management for WooCommerce plugin gebruikt in versie 0.0.0 tot en met 3.1.6, bent u kwetsbaar voor deze XSS kwetsbaarheid.

How do I fix CVE-2025-14767 in WPC Badge Management for WooCommerce?

Update de WPC Badge Management for WooCommerce plugin naar versie 3.1.7 of hoger om deze kwetsbaarheid te verhelpen. Indien een upgrade niet direct mogelijk is, beperk dan de toegang tot de wpcbmbestseller shortcode.

Is CVE-2025-14767 being actively exploited?

Op dit moment zijn er geen publieke exploits bekend, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige exploits te voorkomen.

Where can I find the official WPC Badge Management advisory for CVE-2025-14767?

Raadpleeg de officiële WordPress plugin directory en de website van de plugin-ontwikkelaar voor de meest recente beveiligingsadviezen met betrekking tot CVE-2025-14767.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen
livefree scan

Scan nu uw WordPress project — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...