Gepubliceerd op: 18 november 2025

2. Wat is de Kwetsbaarheid?

De kwetsbaarheid bevindt zich in de VK All in One Expansion Unit plugin, een veelgebruikte tool die extra functionaliteiten toevoegt aan WordPress websites. Het type kwetsbaarheid is Stored Cross-Site Scripting (XSS).

In eenvoudige termen betekent dit dat een kwaadwillende persoon, met minimaal Contributor-rechten op uw WordPress-site, in staat is om kwaadaardige code te injecteren in delen van uw website (specifiek via de parameters ‘vkExUnit_cta_url’ en ‘vkExUnit_cta_button_text’). Deze code wordt vervolgens opgeslagen in de database van uw website. Zodra een bezoeker een pagina bezoekt waar deze code is ingesloten, zal de kwaadaardige code uitvoeren in de browser van die bezoeker. Dit is extreem gevaarlijk, omdat de aanvaller zo de controle kan krijgen over de browser van uw bezoekers.

De oorzaak van dit probleem is een logicafout in de CTA (Call To Action) opslagfunctie van de plugin. Door deze fout worden de essentiële sanitization callbacks (processen die invoer controleren en opschonen) niet correct toegepast, waardoor onveilige gegevens kunnen worden opgeslagen.

3. Wat is de Impact? (Waarom is dit gevaarlijk?)

De gevolgen van een succesvolle XSS-aanval kunnen aanzienlijk zijn voor zowel uw website als uw bezoekers:

• Diefstal van Gebruikersgegevens: Een aanvaller kan sessiecookies stelen, waardoor ze de sessie van ingelogde gebruikers (inclusief beheerders) kunnen overnemen zonder hun wachtwoorden te kennen. Dit kan leiden tot volledige controle over de website.
• Website Defacement: De aanvaller kan de inhoud van uw website wijzigen, reclame of phishing-content injecteren, of zelfs de hele site onleesbaar maken.
• Malware Verspreiding: Bezoekers kunnen ongemerkt worden omgeleid naar kwaadaardige websites die malware verspreiden of gevoelige informatie proberen te ontfutselen (phishing).
• SEO Schade: Zoekmachines kunnen uw website markeren als onveilig, wat leidt tot een daling in zoekresultaten en verlies van vertrouwen.
• Reputatieschade: Schade aan de reputatie van uw bedrijf of merk, wat kan leiden tot verlies van klanten.

4. Ben Ik Getroffen?

Het is cruciaal om snel te controleren of uw website kwetsbaar is:

• Gebruikt u de VK All in One Expansion Unit plugin op uw WordPress-website?
• Welke versie van de plugin gebruikt u momenteel?

U kunt uw plugin-versie eenvoudig controleren via uw WordPress-dashboard:

1. Log in op uw WordPress-dashboard.
2. Navigeer naar Plugins > Geïnstalleerde plugins.
3. Zoek de ‘VK All in One Expansion Unit’ plugin in de lijst.
4. Onder de pluginnaam ziet u het versienummer vermeld.

5. De Oplossing: Wat Moet Ik Nu Doen?

De meest effectieve en urgente actie die u kunt ondernemen, is het updaten van de plugin:

1. Maak een volledige back-up: Voordat u wijzigingen aanbrengt, is het altijd raadzaam om een volledige back-up van uw website (bestanden en database) te maken.
2. Update de plugin: Ga in uw WordPress-dashboard naar Plugins > Geïnstalleerde plugins. Zoek de VK All in One Expansion Unit plugin en klik op de ‘Nu bijwerken’ link (als deze beschikbaar is).
3. Controleer de versie: Zorg ervoor dat u na de update versie 9.112.2 of hoger draait.
4. Geen update beschikbaar? Als er geen update beschikbaar is, raden wij aan de plugin tijdelijk te deactiveren en te verwijderen totdat een veilige versie is uitgebracht, of contact op te nemen met de plugin-ontwikkelaar. Zoek ondertussen naar alternatieve functionaliteiten.
5. Veiligheidsscans: Voer na de update een veiligheidsscan van uw website uit om er zeker van te zijn dat er geen kwaadaardige code is achtergebleven of dat er geen andere kwetsbaarheden zijn uitgebuit.

6. Technische Details (Voor de geïnteresseerden)

• CVE-ID: CVE-2025-11265
• Gepubliceerd op: 2025-11-18T08:15:50.677
• Type kwetsbaarheid: Stored Cross-Site Scripting (XSS)
• Betrokken Parameters: vkExUnit_cta_url en vkExUnit_cta_button_text
• Kwetsbare versies: Alle versies tot en met 9.112.1
• Vaste versie: 9.112.2
• Oorzaak: Logicafout in de CTA save functie die sanitization callbacks leest van de verkeerde variabele ($custom_field_name in plaats van $custom_field_options), waardoor sanitization nooit wordt toegepast.
• Aanvallerseisen: Geauthenticeerde aanvaller met Contributor-level toegang of hoger.
• CVSSv3.1 Score: 6.4 (Medium)

7. Conclusie en Preventie

Deze kwetsbaarheid benadrukt opnieuw het belang van proactieve WordPress-beveiliging. Hoewel het “slechts” een medium-geclassificeerde kwetsbaarheid is, kan de impact op uw website en bezoekers aanzienlijk zijn. Update de VK All in One Expansion Unit plugin onmiddellijk naar versie 9.112.2 of hoger.

Naast deze specifieke update, adviseren wij de volgende algemene beveiligingstips om uw WordPress-website veilig te houden:

• Regelmatig Updaten: Houd uw WordPress-kern, plugins en thema’s altijd up-to-date. Dit is de meest fundamentele beveiligingsmaatregel.
• Sterke Wachtwoorden en Twee-Factor Authenticatie (2FA): Gebruik complexe, unieke wachtwoorden en activeer 2FA voor alle gebruikersaccounts.
• Minimale Privileges: Geef gebruikers alleen de minimale toegangsrechten die ze nodig hebben voor hun taken.
• Regelmatige Back-ups: Zorg voor een betrouwbaar back-up systeem, zodat u uw site snel kunt herstellen na een incident.
• Beveiligingsplugins en WAF: Overweeg het gebruik van een robuuste beveiligingsplugin en een Web Application Firewall (WAF) om uw site te beschermen tegen veelvoorkomende aanvallen.
• Beveiligingsmonitoring: Monitor de logboeken van uw website op verdachte activiteiten.

Voor vragen over de beveiliging van uw WordPress-website, staan wij u graag te woord.

Relevante Links:

• Plugin broncode – Lijn 259
• Plugin broncode – Lijn 271
• Plugin broncode – Lijn 198
• Plugin Changeset
• Wordfence Threat Intelligence
• NIST National Vulnerability Database (CVE-2025-11265)