Kritieke XSS in WordPress Categorieën Afbeeldingen Plugin//Gepubliceerd op 2026-04-20//CVE-2026-2505

WP-FIREWALL BEVEILIGINGSTEAM

WordPress Categories Images Plugin Vulnerability

Pluginnaam WordPress Categorieën Afbeeldingen Plugin
Type kwetsbaarheid Cross-site scripting (XSS)
CVE-nummer CVE-2026-2505
Urgentie Laag
CVE-publicatiedatum 2026-04-20
Bron-URL CVE-2026-2505

Dringende beveiligingsmelding — Geauthenticeerde opgeslagen XSS in de “Categorieën Afbeeldingen” plugin (≤ 3.3.1, CVE‑2026‑2505)

Datum: 17 april 2026
Ernst: Laag (Patchstack prioriteit: Laag; CVSS: 5.4)
Betrokken versies: Categorieën Afbeeldingen plugin ≤ 3.3.1
Gepatcht in: 3.3.2
Vereiste bevoegdheid om te exploiteren: Bijdrager (of hoger)
Aanvalsklasse: Opgeslagen Cross‑Site Scripting (XSS) — OWASP A7

Deze post is geschreven vanuit het perspectief van WP‑Firewall — een WordPress beveiligings- en firewallleverancier — om uit te leggen wat dit probleem betekent voor site-eigenaren, hoe het kan worden misbruikt, hoe te detecteren of je bent getroffen, en de onmiddellijke stappen die je moet nemen om je WordPress-site te beschermen. We zullen ook uitleggen hoe een webapplicatiefirewall (WAF) en virtuele patching je risico kunnen verminderen terwijl je de permanente oplossing implementeert.


TL;DR (snelle actiechecklist)

  • Update de Categorieën Afbeeldingen plugin naar versie 3.3.2 (onmiddellijk) — dit bevat de patch van de leverancier.
  • Als je niet meteen kunt bijwerken:
    • Verwijder tijdelijk de mogelijkheden van de rol Contributor (en hoger) die het maken/bewerken van termen toestaan; of beperk wie taxonomie termen kan bewerken.
    • Pas een WAF-regel / virtuele patch toe om opgeslagen XSS-payloads in terminvoeren (naam, slug, beschrijving, aangepaste velden) te blokkeren.
    • Schakel Content Security Policy (CSP) en strikte beheertoegangcontroles in waar mogelijk.
  • Scan de database op onverwachte script-tags in termnamen/beschrijvingen en reinig alles wat verdacht is.
  • Beoordeel beheerdersgebruikers en recente wijzigingen aan termen; controleer logs op verdachte activiteit.
  • Als je tekenen van compromittering ziet, isoleer de site, bewaar logs en back-ups, en volg dan de onderstaande stappen voor incidentrespons.

Wat is er gebeurd — korte beschrijving

Een opgeslagen Cross‑Site Scripting (XSS) kwetsbaarheid werd ontdekt in de Categorieën Afbeeldingen plugin voor WordPress. Een geauthenticeerde gebruiker met Contributor-rechten of hoger kon JavaScript injecteren in taxonomievelden (bijvoorbeeld, categorienaam, beschrijving of aangepaste velden). Die kwaadaardige inhoud wordt opgeslagen in de database en wordt later uitgevoerd wanneer een bevoegde gebruiker een pagina of beheerscherm bekijkt waar de opgeslagen waarde wordt weergegeven zonder juiste escaping of sanitization.

Omdat de aanvaller ten minste Contributor-toegang tot de site moet hebben, is de kwetsbaarheid niet uit te buiten door anonieme bezoekers. Echter, Contributors zijn gebruikelijk op multi-auteur sites, en het compromitteren van een Contributor-account (credential stuffing, phishing) is een praktische aanvalsmethode op grote schaal. Bovendien is exploitatie afhankelijk van een bevoegde gebruiker die een actie uitvoert of een pagina laadt die de opgeslagen payload weergeeft — die gebruikersinteractie is waarom de melding “Gebruikersinteractie Vereist” vermeldt.”

De leverancier heeft een oplossing uitgebracht in versie 3.3.2 dat de invoer/uitvoer verwerking corrigeert. Je moet onmiddellijk bijwerken.


Waarom opgeslagen XSS belangrijk is (zelfs wanneer de ernst “laag” is)

Opgeslagen XSS injecteert kwaadaardige scripts in de database van de site, zodat elke bezoeker (of een subset van gebruikers) die een pagina laadt waar de opgeslagen waarde wordt weergegeven, de JavaScript van de aanvaller in hun browsercontext uitvoert. De impact hangt af van welke gebruikers de payload zien:

  • Als de payload wordt uitgevoerd in de context van een beheerder of redacteur, kan een aanvaller:
    • Cookies of sessietokens van de beheerder stelen (als er geen HttpOnly-cookies of andere beschermingen bestaan).
    • Administratieve acties uitvoeren via de sessie van de beheerder (gebruikers aanmaken, site-instellingen wijzigen, plugins/thema's installeren).
    • Verdere persistente achterdeurtjes injecteren (bestanden of opties die herstarts overleven).
  • Als de payload wordt uitgevoerd in de context van uitgelogde bezoekers, kan het vervormingen uitvoeren, advertenties injecteren of verkeer omleiden.
  • Op waardevolle sites (ecommerce, lidmaatschap) kan de mogelijkheid om willekeurige JavaScript uit te voeren tegen bevoorrechte rollen een volledige overname van de site mogelijk maken.

Hoewel de kwetsbaarheid hier als laag / CVSS 5.4 is beoordeeld omdat een aanvaller een Contributor-rol nodig heeft en exploitatie gebruikersinteractie vereist, vormt dit nog steeds een praktisch risico — vooral voor omgevingen met veel auteurs, of waar Contributor-accounts zwak worden beheerd.


Hoe de aanval werkt (hoog niveau)

  1. De aanvaller verkrijgt een Contributor-account (registreert zich op de site als open registratie is toegestaan, of maakt gebruik van gecompromitteerde inloggegevens).
  2. De aanvaller maakt of bewerkt een categorie/term (of uploadt metadata van een categorie-afbeelding) en injecteert een kwaadaardige payload in een tekstveld (naam, beschrijving of andere opgeslagen velden die de plugin gebruikt).
  3. De plugin slaat die inhoud op in de WordPress-database zonder de uitvoer correct te saniteren of te ontsnappen wanneer deze in admin- of publieke contexten wordt weergegeven.
  4. Later bezoekt een beheerder/redacteur het admin taxonomie scherm of een pagina die het geïnjecteerde veld weergeeft. De browser voert de geïnjecteerde JavaScript uit in de context van de sessie van de beheerder.
  5. Het geïnjecteerde script voert acties uit: gebruikers aanmaken, e-mailadressen wijzigen, cookies exfiltreren, verdere scripts laden of terugbellen naar de aanvaller voor aanvullende payloads.

Omdat de inhoud is opgeslagen, kan de impact wijdverspreid en persistent zijn.


Bewijs‑van‑concept (conceptueel, niet-uitvoerbaar)

We zullen geen volledig gewapende exploit bieden. Voor educatieve doeleinden ziet een generieke opgeslagen XSS-vector eruit als:

<script></script>

Wanneer opgeslagen in een categorieomschrijving en weergegeven door de admin UI zonder ontsnapping, wordt die payload uitgevoerd in de browser van de beheerder.

Plak of test geen payloads op productie-sites. Als je aan het testen bent, doe dit dan in een geïsoleerde staging-omgeving.


Indicatoren van Compromis (IOC's) en waar je op moet letten

Controleer deze plaatsen snel als je misbruik vermoedt:

  • Databasetabellen:
    • wp_terms.naam
    • wp_term_taxonomy.description (als beschrijvingen zijn opgeslagen)
    • wp_termmeta (als de plugin meta gebruikt voor afbeeldingen/beschrijvingen)
  • Admin-wijzigingen:
    • Recente termcreaties of bewerkingen door Contributor-accounts.
    • Onbekende categorienamen die “<“, “script”, “onerror” of andere HTML-attributen bevatten.
  • Webserver- en applicatielogs:
    • POST-verzoeken naar /wp-admin/edit-tags.php of eindpunten die termcreatie/bijwerkingen van Contributor-accounts afhandelen.
    • Admin-gebruiker die kort na een wijziging door een Contributor de categorie-bewerkingspagina's bezoekt.
  • WordPress-logboeken en auditsporen (indien beschikbaar):
    • Nieuwe gebruikers aangemaakt, vooral met verhoogde rollen onmiddellijk na een categorie-bewerking.
    • Onverwachte wijzigingen in de lijst van plugins/thema's, opties tabel of actieve plugins.
  • Verdachte uitgaande netwerkverkeer:
    • Browser-callbacks naar door aanvallers gecontroleerde domeinen vanuit admin-browsers (moeilijker te zien in serverlogs, maar controleer firewall/proxy-logs).

Snelle databasezoekopdracht (gebruik alleen op een veilige staging-kopie of na het maken van een databaseback-up):

-- Zoek naar termen die script-achtige fragmenten bevatten;

Als je vermeldingen met HTML/script-tags vindt, behandel ze dan als verdacht en onderzoek verder. Verwijder of wijzig GEEN bewijs voordat je logs/back-ups vastlegt als je een actieve compromittering vermoedt — bewaar ze voor een incidentrespons.


Onmiddellijke mitigatiestappen (voor het patchen)

Als je de Categorieën Afbeeldingen niet onmiddellijk naar 3.3.2 kunt bijwerken, neem dan deze tijdelijke mitigaties:

  1. Beperk de privileges van bijdragers
    • Verwijder tijdelijk of beperk de mogelijkheid van bijdragers om categorieën/termen te maken of te bewerken.
    • Gebruik een rolbeheerplugin of WP‑CLI om mogelijkheden te wijzigen:
      • Lijst gebruikers met de rol van Contributor: wp gebruiker lijst --rol=bijdrager
      • Verander tijdelijk de rol naar Abonnee voor verdachte accounts: wp gebruiker bijwerken 123 --rol=abonnee
  2. Beperk beheerdersrechten
    • Beperk de toegang tot /wp-admin en pagina's voor taxonomiebeheer op basis van IP, tijd van de dag of VPN.
    • Gebruik sterke wachtwoorden en handhaaf MFA (multi‑factor authenticatie) voor admin/editor accounts.
  3. Pas WAF / virtuele patch toe
    • Configureer een WAF-regel die verzoeken blokkeert die script-tags of verdachte HTML naar term-creatie-eindpunten indienen (admin bewerk-pagina's).
    • Blokkeer of saniteer POST-payloads die “<script”, “onerror=”, “javascript:”, “data:text/html” of andere verdachte tokens bevatten.
  4. Versterk de output in sjablonen
    • Als het haalbaar is, werk dan tijdelijk thema/admin-sjablonen bij om term-output te ontsnappen (bijv., esc_html() of wp_kses()).
    • Verwijder alle niet-vertrouwde HTML-rendering voor termnamen/beschrijvingen totdat de plugin is gepatcht.
  5. Implementeer CSP in de admin
    • Voeg een restrictief Content Security Policy toe voor het admingebied om inline scripts en onbekende scriptbronnen te blokkeren. Voorbeeld:

      Content-Security-Policy: default-src 'self'; script-src 'nonce-' 'self'; object-src 'none';
    • Opmerking: CSP in WordPress admin kan lastig zijn; test grondig in een staging-omgeving.
  6. Monitoren en waarschuwen
    • Verhoog de logging en stel waarschuwingen in voor verdachte admin POST's, nieuwe gebruikerscreatie en wijzigingen in het bestandssysteem.

Deze stappen verminderen het aanvalsvlak en kunnen voorkomen dat de opgeslagen payload de browser van een bevoorrechte gebruiker bereikt.


Hoe WP‑Firewall je beschermt (virtuele patching & WAF-mogelijkheden)

Als een WordPress-firewallprovider biedt WP‑Firewall gelaagde bescherming die helpt in situaties zoals deze:

  • Beheerde WAF-regels die pogingen detecteren en blokkeren om scriptachtige payloads naar term-eindpunten in te dienen. We onderhouden afgestemde regels voor taxonomie-gerelateerde opgeslagen XSS-patronen.
  • Auto virtueel patchen: als een plugin kwetsbaarheid wordt onthuld en je kunt niet onmiddellijk updaten, kan WP‑Firewall een virtuele patch toepassen op de HTTP-laag om de exploit vectoren te blokkeren totdat je de plugin bijwerkt.
  • Malware-scanning en bestandsintegriteitscontroles om tekenen van post-exploit wijzigingen te detecteren (nieuwe bestanden, backdoors, gewijzigde plugin- of themabestanden).
  • Bescherming van het beheerdersgebied: rate limiting, IP-toegestaan/weigerde lijsten en botbescherming voor /wp-admin eindpunten.
  • Monitoring en waarschuwingen voor verdachte activiteiten van geverifieerde accounts (bijv. een Contributor die onverwachte HTML indient).

Als je nog niet beschermd bent door een beheerde WAF, overweeg dan om virtueel patchen voor deze kwetsbaarheid onmiddellijk in te schakelen. Als je de basisbescherming van WP‑Firewall (gratis) wilt proberen, die een beheerde firewall, WAF en malware-scanning omvat, meld je hier aan: https://my.wp-firewall.com/buy/wp-firewall-free-plan/ (zie details hieronder).


Gedetailleerde herstelstappen (aanbevolen volgorde)

  1. Update de plugin onmiddellijk
    • Update Categorieën Afbeeldingen naar versie 3.3.2 of later op alle omgevingen (staging eerst als je testen vereist).
  2. Controleer en reinig opgeslagen inhoud
    • Zoek naar en saniteer eventuele taxonomievelden die HTML/scriptfragmenten bevatten. Verwijder of ontsnap inhoud correct voordat je deze terugstuurt naar de browser.
    • Voer deze zoekopdracht en opruiming indien mogelijk eerst uit in een staging kopie; houd back-ups van originele invoeren.
  3. Draai inloggegevens en verstevig beheerdersaccounts
    • Vraag beheerders om wachtwoorden opnieuw in te stellen en MFA in te schakelen.
    • Beoordeel bevoorrechte accounts en intrek toegang voor verouderde accounts.
  4. Scan op indicatoren van compromis
    • Voer een volledige malware-scan en bestandsintegriteitscontrole uit om eventuele backdoors of gewijzigde bestanden te vinden.
    • Onderzoek recente nieuwe bestanden in wp-inhoud/uploads en plugin/thema directories.
  5. Beoordeel site-logboeken
    • Zoek naar verdachte POST-verzoeken die de opgeslagen payload kunnen hebben gecreëerd.
    • Controleer de timing van termwijzigingen met beheerdersbezoeken om waarschijnlijke exploitatie-evenementen te vinden.
  6. Herstel vanaf een bekende goede back-up (indien nodig)
    • Als je een diepe compromittering detecteert (nieuwe beheerdersgebruikers, gewijzigde kernbestanden, persistente backdoors), overweeg dan om te herstellen vanuit een schone back-up die vóór de compromittering is gemaakt en pas daarna de beveiligingspatch en versteviging toe.
  7. Verbeter toekomstige verdedigingen
    • Beperk het aantal en de privileges van Contributor-accounts.
    • Gebruik een beheerde WAF of virtuele patchservice.
    • Zorg ervoor dat alle plugins/thema's/core up-to-date en gemonitord worden.

Voorbeeldquery's & commando's (praktisch)

Zoek naar verdachte inhoud (voer uit op een kopie van je database; maak altijd eerst een back-up):

-- Termen met potentiële scriptinjectie;

WP‑CLI voorbeelden:

# Lijst gebruikers met de rol Contributor

Voorbeeld mod_security-stijlregel (conceptueel) voor het blokkeren van script-tags die naar taxonomie-eindpunten zijn gepost — pas aan en test voordat je deze inschakelt:

# Blokkeer script-tags in POST-payloads naar taxonomie bewerk/opslag-eindpunten"

Waarschuwing: Deze regels zijn conceptueel — test op staging om valse positieven te vermijden die geldige invoer blokkeren.


Incidentrespons-handboek (als je actieve exploitatie vindt)

  1. Isoleren: Zet de site in onderhoudsmodus en beperk de toegang voor beheerders (IP-toegangslijst).
  2. Bewijsmateriaal bewaren: Maak een back-up van de database en het bestandssysteem, sla webserverlogs, toegangslogs en WAF-logs op.
  3. Toepassingsgebied bepalen: Bepaal welke accounts en tijden overeenkomen met verdachte wijzigingen.
  4. Scan en reinig: Voer een malware-scan uit, controleer op web shells/backdoors, reinig of herstel geïnfecteerde bestanden uit schone bronnen.
  5. Patch: Werk de plugin bij (naar 3.3.2+), werk de WordPress-core en andere plugins/thema's bij.
  6. Referenties roteren: Reset wachtwoorden en intrek sessies voor alle gebruikers; handhaaf MFA.
  7. Herbeoordeel: Na opschoning, opnieuw scannen en monitoren op aanhoudende activiteit gedurende ten minste 30 dagen.
  8. Rapporteren & leren: Als gevoelige gegevens zijn benaderd of de site deel uitmaakt van een groter platform, informeer dan belanghebbenden en werk de beveiligingsprocessen bij om herhaling te voorkomen.

Als uw WordPress-site deel uitmaakt van een beheerde hostingomgeving, betrek dan het beveiligingsteam van uw host en geef hen bewaarde logboeken en tijdstempels.


Aanbevelingen voor verhoging van de beveiliging om toekomstige risico's te verminderen

  • Houd de WordPress-kern, plugins en thema's regelmatig bijgewerkt volgens een schema.
  • Verminder het aantal gebruikers met bevoorrechte rollen; gebruik het principe van de minste privilege.
  • Handhaaf sterke wachtwoorden en MFA voor alle bevoorrechte gebruikers.
  • Beperk plugin-installaties: gebruik alleen goed onderhouden plugins met duidelijke updategeschiedenissen.
  • Scan regelmatig op malware en wijzigingen (bestandsintegriteitsbewaking).
  • Gebruik een beheerde WAF die virtuele patches kan toepassen tussen openbaarmaking en patchimplementatie.
  • Schakel een Content Security Policy (CSP) in voor de openbare site en overweeg strengere regels voor WP-admin (test eerst).
  • Auditlogs: zorg voor een auditplugin of -service die gebruikersactiviteit registreert (wijzigingen in voorwaarden, plugininstallaties, gebruikerswijzigingen).
  • Vermijd het toestaan van niet-vertrouwde gebruikers om HTML/JS-inhoud te uploaden of taxonomie-items te creëren, tenzij absoluut noodzakelijk.

Waarom virtueel patchen in dit geval waardevol is.

Beperkingen in de echte wereld (testen, staging, compatibiliteit, goedkeuringen van bedrijven) vertragen soms onmiddellijke plugin-updates. Virtueel patchen op de HTTP-laag (WAF) biedt een gecontroleerde tussenoplossing die bekende exploitpatronen blokkeert voordat ze de kwetsbare applicatiecode bereiken. Voordelen zijn onder andere:

  • Onmiddellijke bescherming terwijl u een veilige plugin-update plant.
  • Geen wijzigingen in WordPress-bestanden of de database-structuur.
  • De mogelijkheid om de regels aan te passen aan de verkeerspatronen van uw site.
  • Geïntegreerde detectie + blokkering met logging, zodat u pogingen tot exploitatie kunt bekijken.

WP-Firewall biedt beheerd virtueel patchen dat snel kan worden ingezet voor kwetsbaarheden zoals deze opgeslagen XSS.


Veelgestelde vragen (FAQ)

V: Als bijdragers HTML kunnen injecteren, betekent dat dan dat mijn hele site gecompromitteerd is?
A: Niet noodzakelijk. De aanval slaagt alleen als de opgeslagen payload wordt weergegeven in een context waarin een bevoorrechte gebruiker of de browser van een bezoeker deze uitvoert. Echter, opgeslagen XSS is persistent, dus elke gebruiker die later de payload bekijkt, kan worden beïnvloed. Het is essentieel om elk opgeslagen script dat in de DB wordt gevonden als verdacht te beschouwen en te onderzoeken.

V: Mijn site staat geen bijdragen toe. Ben ik veilig?
A: Als je geen Contributor-accounts hebt en je registratie-/auteursstromen zijn gesloten, is je blootstelling aanzienlijk lager. Maar update altijd de plugin om veilig te zijn — kwetsbaarheden kunnen meerdere exploitatiepaden hebben.

Q: Kan ik de database achteraf saneren in plaats van te updaten?
A: Je moet zowel kwaadaardige invoer saneren/verwijderen als de plugin updaten. Saneren verwijdert huidige payloads, maar lost de onderliggende codefout die injectie opnieuw mogelijk maakt niet op.

Q: Is deze kwetsbaarheid op afstand uit te buiten?
A: Het vereist een geverifieerd Contributor- of hoger account op de doelwebsite, dus het is geen onmiddellijke anonieme externe exploit. Aanvallers richten zich echter routinematig op sites met zwakke inloggegevens en gebruiken vervolgens alle toegankelijke privileges.


Verantwoordelijke openbaarmaking & acties van de leverancier

De pluginleverancier heeft een patch (3.3.2) uitgebracht die de kwetsbaarheid aanpakt. Alle site-eigenaren moeten de patch zo snel mogelijk toepassen. Als je sites op grote schaal beheert, plan dan een gecoördineerde update en overweeg om automatische updates voor laag-risico plugins in te schakelen wanneer dat gepast is.


Aanvullende bronnen en volgende stappen

  • Update de Categories Images-plugin naar 3.3.2 of later op alle omgevingen (productie, staging, dev).
  • Voer de bovenstaande databasequery's uit op een back-upkopie om verdachte invoer te vinden.
  • Schakel logging en waarschuwingen in voor admin POST's en nieuwe gebruikerscreatie-evenementen.
  • Overweeg een beveiligingsreview van andere plugins die met taxonomieën interageren en HTML in termmeta of beschrijvingen toestaan.

Bescherm je site met WP-Firewall — Gratis plan beschikbaar

Waarom het WP-Firewall Gratis Plan de perfecte eerste stap is

Als je een vangnet wilt opzetten terwijl je updates toepast en opruimt, biedt het Basis (Gratis) plan van WP-Firewall essentiële bescherming die een echt verschil maakt voor WordPress-sites. Het gratis plan omvat een beheerde firewall met WAF-regels, onbeperkte bandbreedtebescherming, een malware-scanner en mitigatie voor OWASP Top 10-risico's — genoeg om veelvoorkomende opgeslagen XSS-vectoren en vele andere geautomatiseerde bedreigingen te blokkeren. Als je later meer geavanceerde functies nodig hebt — automatische malwareverwijdering of virtuele patching — zijn onze Standaard- en Pro-plannen beschikbaar. Begin vandaag nog met het beschermen van je site: https://my.wp-firewall.com/buy/wp-firewall-free-plan/


Laatste gedachten van het WP-Firewall beveiligingsteam

Opgeslagen XSS in taxonomieafhandeling is een terugkerend patroon: plugins die gebruikers HTML of afbeeldingen laten opslaan, missen vaak ofwel invoervalidatie of juiste uitvoerescapering. Zelfs wanneer de initiële ernst laag lijkt omdat een Contributor-privilege vereist is, maken echte aanvallers gebruik van zwakke registratie, hergebruikte wachtwoorden en slechte accounthygiëne om over te schakelen naar aanvallen met een hogere impact.

Patch nu. Verminder privileges en sluit het admingebied af. Gebruik een beheerde WAF en kwetsbaarheidsmonitoring om de kloof tussen openbaarmaking en patching te overbruggen. En neem een beveiligingsproces aan — regelmatige scans, rolcontroles en logging — zodat toekomstige problemen sneller worden gedetecteerd en met minimale wrijving worden opgelost.

Als je hulp nodig hebt — van virtuele patching tot incidentresponsbegeleiding of een op maat gemaakt beveiligingsplan voor je WordPress-installatie — kan het team van WP-Firewall je helpen om de bovenstaande items te prioriteren en actie te ondernemen. Begin met ons gratis plan om onmiddellijke WAF-bescherming en dreigingsscanning te krijgen. https://my.wp-firewall.com/buy/wp-firewall-free-plan/


Als je dat nodig hebt, kunnen we bieden:

  • Een op maat gemaakte WAF-regelset die je op je server kunt toepassen (getest op een staging-omgeving).
  • Een checklist van één pagina om aan site-editors en beheerders te overhandigen.
  • Een gratis externe beveiligingsbeoordeling voor één WordPress-site (beperkte beschikbaarheid).

Neem contact op met de WP‑Firewall-ondersteuning via het portaal of uw dashboard voor hulp.


wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan
!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.