Gepubliceerd op: 2025-10-13

Inleiding / Samenvatting (TL;DR)

Een belangrijke beveiligingswaarschuwing voor alle WordPress-gebruikers: er is recentelijk een **kritieke kwetsbaarheid** (CVSS-score: 6.8 MEDIUM) ontdekt in de populaire plugin **The Plus Addons for Elementor**.

• Wat: Een Stored Cross-Site Scripting (XSS) kwetsbaarheid.
• Waar: In de plugin The Plus Addons for Elementor, specifiek in versies ouder dan 6.3.16.
• Wie is getroffen: Alle WordPress-websites die de plugin The Plus Addons for Elementor gebruiken met een versie **lager dan 6.3.16**.
• Actie: Update uw plugin **onmiddellijk** naar versie 6.3.16 of hoger om uw website te beschermen.

Wat is de Kwetsbaarheid?

Deze kwetsbaarheid is geïdentificeerd als een **Stored Cross-Site Scripting (XSS)** kwetsbaarheid. Dit betekent dat een aanvaller kwaadaardige code kan injecteren die wordt opgeslagen op uw website en later wordt uitgevoerd in de browser van andere gebruikers, inclusief beheerders.

• Plugin: Het betreft de plugin The Plus Addons for Elementor.
• Type kwetsbaarheid: Stored Cross-Site Scripting (XSS).
• Wat het betekent: De plugin valideert de inhoud van geüploade SVG-bestanden onvoldoende. SVG-bestanden kunnen, naast afbeeldingen, ook JavaScript-code bevatten. Door deze kwetsbaarheid kan een gebruiker met minimale rechten (zoals een auteur) een kwaadaardig SVG-bestand uploaden.
• Oorzaak: Onvoldoende ‘sanitatie’ (schoonmaak en validatie) van de inhoud van SVG-bestanden voordat deze op de server worden opgeslagen en aan andere gebruikers worden getoond.

Wat is de Impact? (Waarom is dit gevaarlijk?)

Een Stored XSS-aanval is bijzonder gevaarlijk omdat de kwaadaardige code op de server van uw website wordt opgeslagen en persistent is. Dit betekent dat de aanval niet alleen effect heeft op degene die de code uploadt, maar op iedereen die de pagina bezoekt waar de code wordt uitgevoerd.

Een aanvaller die deze kwetsbaarheid misbruikt, kan onder andere:

• Sessie-hijacking uitvoeren: De cookies van andere gebruikers (inclusief beheerders) stelen en daarmee hun sessie overnemen, waardoor ze toegang krijgen tot het account van die gebruiker zonder wachtwoord.
• Website defacen: De inhoud van uw website aanpassen of zelfs volledig vernielen.
• Bezoekers doorsturen: Gebruikers van uw website ongemerkt doorsturen naar kwaadaardige websites (phishing, malware).
• Admin-rechten verkrijgen: In het ergste geval kan een aanvaller, via een gestolen beheerderssessie, volledige controle over uw WordPress-site krijgen.
• Data stelen: Gevoelige informatie die door andere gebruikers wordt ingevoerd, onderscheppen.

Het meest verontrustende aspect van deze specifieke kwetsbaarheid is dat een gebruiker met een **Author (Auteur) rol** al voldoende rechten heeft om deze aanval uit te voeren. Dit verhoogt het risico aanzienlijk, vooral als u gastbloggers of meerdere content creators op uw site heeft.

Ben Ik Getroffen?

Het is cruciaal om snel te controleren of uw website kwetsbaar is. Volg deze stappen:

1. **Controleer of u de plugin gebruikt:** Log in op uw WordPress-dashboard.
2. Navigeer naar **Plugins → Geïnstalleerde plugins**.
3. Zoek in de lijst naar de plugin genaamd “The Plus Addons for Elementor“.
4. Controleer het **versienummer** van deze plugin.

De regel is duidelijk: Als u de plugin **The Plus Addons for Elementor** gebruikt en uw versienummer is **lager dan 6.3.16**, dan is uw website **kwetsbaar** voor deze aanval.

De Oplossing: Wat Moet Ik Nu Doen?

De oplossing is gelukkig eenvoudig, maar vereist onmiddellijke actie:

1. **Maak een backup:** Voordat u updates uitvoert, is het **altijd cruciaal** om een volledige backup van uw website (bestanden en database) te maken. Zo kunt u bij onverwachte problemen altijd terugkeren naar een werkende versie.
2. **Update de plugin:** Ga naar uw WordPress-dashboard, navigeer naar **Plugins → Geïnstalleerde plugins**. Zoek “The Plus Addons for Elementor” en klik op de “Update” knop. Zorg ervoor dat u update naar **versie 6.3.16 of hoger**.
3. **Cache legen:** Na de update is het raadzaam om de cache van uw website (indien u een caching-plugin gebruikt) en uw browsercache te legen om er zeker van te zijn dat de nieuwste versie van de plugin correct wordt geladen.

Technische Details (Voor de geïnteresseerden)

• CVE-ID: CVE-2025-9698
• Kwetsbaarheidstype: Stored Cross-Site Scripting (XSS)
• Betrokken component: SVG-bestandsuploads via de plugin.
• Exploit: Een aanvaller met minimale rechten (Author-rol of hoger) kan een kwaadaardig SVG-bestand uploaden.
• CVSS v3.1 Base Score: 6.8 (Medium)
• Publicatiedatum CVE: 2025-10-13T06:15:42.677 (Datum van publicatie/aanpassing van de CVE)

Conclusie en Preventie

Deze kwetsbaarheid in The Plus Addons for Elementor benadrukt nogmaals het belang van proactieve WordPress-beveiliging. **Update uw plugin direct** om te voorkomen dat uw website slachtoffer wordt van deze XSS-aanval.

Naast deze specifieke update raden we altijd de volgende algemene beveiligingspraktijken aan:

• Regelmatig updaten: Houd niet alleen uw plugins, maar ook uw thema’s en de WordPress core altijd up-to-date. Updates bevatten vaak belangrijke beveiligingspatches.
• Sterke wachtwoorden: Gebruik unieke, complexe wachtwoorden voor alle gebruikersaccounts, vooral voor beheerders.
• Tweefactorauthenticatie (2FA): Activeer 2FA voor alle gebruikers, met name beheerders, om een extra beveiligingslaag toe te voegen.
• Minimale rechten: Ken gebruikers alleen de minimale rechten toe die ze nodig hebben voor hun taken (het principe van ‘least privilege’).
• Beveiligingsplugins: Overweeg het gebruik van een betrouwbare WordPress-beveiligingsplugin die uw site kan scannen en beschermen tegen diverse bedreigingen.
• Regelmatige backups: Zorg voor een solide backupstrategie, zodat u uw website altijd kunt herstellen mocht er iets misgaan.

Voor meer gedetailleerde technische informatie over deze kwetsbaarheid kunt u de volgende bronnen raadplegen:

• NVD – CVE-2025-9698
• WPScan – The Plus Addons for Elementor XSS

Blijf veilig online!