Een ernstige kwetsbaarheid, aangeduid als CVE-2025-4690, is ontdekt in het ‘linky’ filter van AngularJS dat alle versies beïnvloedt. Deze kwetsbaarheid maakt applicaties vatbaar voor een ReDoS-aanval via inefficiënte reguliere expressies. Hiermee kan een kwaadwillende partij met een zorgvuldig vervaardigde invoer de applicatie aanzienlijk vertragen.
Ondanks de ernst is er geen patch beschikbaar aangezien het AngularJS-project is beëindigd. Het blijft cruciaal om bewust te zijn van deze risico’s gezien de online beschikbaarheid van Proof of Concept-exploits.
Overzicht
Een van de belangrijkste risico’s van deze kwetsbaarheid is dat een ReDoS-aanval kan leiden tot verminderde beschikbaarheid van de getroffen applicatie. SPECIFIEK: de ‘linky’ filter van AngularJS heeft een kwetsbare reguliere expressie die leidt tot super-lineaire uitvoertijd.
Let op: Het hele AngularJS-project is aan het einde van de levenscyclus, wat betekent dat er geen toekomstige beveiligingsupdates beschikbaar zullen zijn.
Aanbevelingen
- Hergebruik of herschrijf de kwetsbare delen van de code binnen de applicatie waar mogelijk om deze kwetsbaarheid te omzeilen.
- Overweeg om te migreren naar Angular, de gemoderniseerde opvolger van AngularJS, voor continue veiligheidsupdates en ondersteuning.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-4690?
Het betreft een kwetsbaarheid in AngularJS die een ReDoS-aanval mogelijk maakt via een inefficiënte reguliere expressie.
Welke systemen zijn kwetsbaar voor CVE-2025-4690?
Alle systemen die AngularJS, en met name de ‘linky’ filter, gebruiken zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen patch beschikbaar, aangezien het Xulrunner-project is beëindigd en daarmee geen verdere updates zal ontvangen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de prestaties van een applicatie ernstig ondermijnen en mogelijk deni¨n van service uitvoeren, waardoor de toegang wordt beperkt of geblokkeerd.
Versies: >=0.0.0
