Alle versies van de WordPress-plugin JoomSport – for Sports: Team & League, Football, Hockey & more tot en met versie 5.7.3 bevatten een kwetsbaarheid voor Local File Inclusion (LFI). De fout wordt veroorzaakt door een onveilige verwerking van de task-parameter, waardoor niet-geverifieerde aanvallers willekeurige PHP-bestanden op de server kunnen inladen en uitvoeren. Hierdoor kan een aanvaller toegangsbeperkingen omzeilen, gevoelige gegevens inzien of kwaadaardige code uitvoeren wanneer PHP-bestanden kunnen worden geüpload en ingesloten.
Referenties
- [NIST NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-7721)
- [MITRE CVE](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-7721)