SolidInvoice tot en met versie 2.4.0 bevat een kritieke kwetsbaarheid die bekend staat als CVE-2025-9168. Deze kwetsbaarheid betreft cross site scripting (XSS) en code injectie binnen de Module voor Factuurcreatie, die kwaadwillenden via een externe aanval misbruiken om schadelijke scripts uit te voeren.
Door manipulatie van het ‘Client Name’-argument in de module, kunnen aanvallers mogelijk schadelijke code injecteren op de /invoice-bestandspad. Dit vormt een groot risico aangezien de exploit openbaar is gemaakt en de leverancier tot op heden niet heeft gereageerd op verzoeken om actie te ondernemen.
Overzicht
- Product: SolidInvoice
- Versie: Tot en met 2.4.0
- Mogelijke aanval: Externe cross site scripting via de factuurcreatiemodule
Modules: Invoice Creation Module
Aanbevelingen
- Beperk toegang tot de /invoice-module en zorg ervoor dat alleen geauthenticeerde gebruikers toegang hebben.
- Controleer op updates en beveiligingspatches van de ontwikkelaar zodra deze beschikbaar zijn.
Bronnen
- VDB-320545 | SolidInvoice Invoice Creation invoice cross site scripting
- VDB-320545 | CTI Indicators
- Open-Source SolidInvoice 2.4.0 Stored Cross-Site Scripting (XSS)
- PoC op GitHub
Vraag en Antwoord
Wat is CVE-2025-9168?
CVE-2025-9168 is een wereldwijd unieke identifier voor een specifieke cross site scripting kwetsbaarheid in SolidInvoice, waarmee ongeautoriseerde scripts kunnen worden uitgevoerd.
Welke systemen zijn kwetsbaar voor CVE-2025-9168?
Systemen met SolidInvoice versies tot en met 2.4.0, met name die met de Module voor Factuurcreatie zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er geen reactie van de leverancier en er zijn geen patches of updates uitgebracht. Het is cruciaal om alternatieve beveiligingsmaatregelen te nemen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts uitvoeren waardoor gevoelige gegevens kunnen lekken of kwaadaardige activiteiten binnen het netwerk kunnen worden uitgevoerd.
