evesys versies 7.1 (2152) tot en met 8.0 (2202) zijn kwetsbaar voor een Reflected Cross-Site Scripting (XSS) aanval via de action parameter in indexeva.php. Dit betekent dat een aanvaller kwaadaardige scripts kan injecteren die worden uitgevoerd in de browser van een nietsvermoedende gebruiker. Het netwerk kan hierdoor blootgesteld worden zonder dat gebruikers interactie nodig is.
Overzicht
Het beveiligingslek heeft de CVE-identificatie CVE-2021-27961. Vanuit technisch oogpunt is het risico middelmatig volgens de CVSS-score van 6.5. De aanvalsvector is door het netwerk en vereist geen privileges of gebruikersinteractie. Dit plaatst zowel de vertrouwelijkheid als de integriteit van data op lage risico’s.
Aanbevelingen
- Controleer of uw organisatie evesys versies 7.1 (2152) tot 8.0 (2202) draait en plan een snelle upgrade of patch om de kwetsbaarheid te verhelpen.
- Registreer foutenmeldingen en ongebruikelijke activiteiten binnen uw netwerkomgeving om mogelijke exploits snel te detecteren.
Bronnen
Vraag en Antwoord
Wat is CVE-2021-27961?
Het is een beveiligingslek dat Reflected XSS mogelijk maakt in bepaalde evesys versies.
Welke systemen zijn kwetsbaar voor CVE-2021-27961?
evesys versies 7.1 (2152) tot en met 8.0 (2202) zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen specifieke update genoemd, maar het wordt aangeraden contact op te nemen met de leverancier voor patch-informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts injecteren die uitgevoerd worden in de browser van een gebruiker, waardoor zij mogelijk toegang kunnen krijgen tot gevoelige informatie.
