Een kritiek beveiligingslek, aangeduid als CVE-2025-9094, is ontdekt in ThingsBoard 4.1. Deze kwetsbaarheid betreft de Add Gateway Handler module en kan op afstand door aanvallers misbruikt worden. Het probleem houdt verband met onjuiste verwerking van speciale elementen in een sjabloon engine.
Overzicht
De kwetsbaarheid in ThingsBoard 4.1 is veroorzaakt door onvolledige filtering van speciale elementen, ook wel bekend als CWE-1336 en CWE-791. Dit kan leiden tot onjuiste neutralisatie, wat potentieel misbruik mogelijk maakt.
Deze kwetsbaarheid is openbaar gemaakt en kan worden uitgebuit.
Aanbevelingen
- Beheer uw systeem en zorg ervoor dat u de meest recente beveiligingspatches toepast zodra deze beschikbaar zijn.
- Update naar de nieuwe release van ThingsBoard (v4.2) zodra deze beschikbaar is, aangezien de leverancier aangeeft dat dit probleem daarin zal worden opgelost.
Bronnen
- VDB-320416 | ThingsBoard Add Gateway special elements used in a template engine
- VDB-320416 | CTI Indicators (IOB, IOC, TTP)
- Submit #626292 | ThingsBoard ThingsBoard IoT Platform 4.1.0 Stored Client-Side Template Injection (CSTI)
Vraag en Antwoord
Wat is CVE-2025-9094?
Het betreft een beveiligingslek in de Add Gateway Handler van ThingsBoard 4.1, dat tot exploitatie leidt door onjuiste neutralisatie van speciale elementen.
Welke systemen zijn kwetsbaar voor CVE-2025-9094?
De kwetsbaarheid treft ThingsBoard versies 4.1 en mogelijk eerdere versies. Systemen met deze software geïnstalleerd zijn vatbaar.
Bestaat er al een patch of beveiligingsupdate?
Volgens de leverancier wordt een oplossing verwacht in de komende release v4.2 en toekomstige onderhoudsreleases van LTS-versies (beginnend bij versie 4.0).
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel de controle over specifieke functionaliteiten of gegevens binnen het systeem verkrijgen zonder dat de eindgebruiker hiervan op de hoogte is.
