Er is een ernstige kwetsbaarheid (CVE-2025-34104) ontdekt in het Piwik Web Analytics Platform, nu bekend als Matomo, dat systemen kwetsbaar maakt voor kwaadaardige code-uitvoering. Versies van Piwik vóór 3.0.3 bevatten een beveiligingslek waarmee geauthenticeerde gebruikers met superuser-rechten kwaadaardige plugins kunnen uploaden via het ZIP-archief, waarmee ze willekeurige PHP-code kunnen uitvoeren op het onderliggende systeem. Vanaf versie 3.0.3 is deze functie standaard uitgeschakeld, tenzij specifiek ingeschakeld in het configuratiebestand. Hierdoor kan een aanvaller zonder uw medeweten volledige toegang krijgen tot de systeemfunctionaliteit.
Overzicht
Met een CVSS-score van 9.4 is deze kwetsbaarheid als kritiek geclassificeerd. Het vereist minimale aanvalsinspanning en kan op netwerkniveau worden misbruikt zonder gebruikersinteractie. De kwetsbaarheid draait om het ongecontroleerd uploaden van gevaarlijke bestandstypen (CWE-434) en het ontbreken van authenticatie voor kritieke functies (CWE-306).
Aanbevelingen
- Update onmiddellijk naar Piwik/Matomo versie 3.0.3 of hoger, waarin de plugin upload functionaliteit standaard is uitgeschakeld.
- Controleer de configuratieinstellingen om er zeker van te zijn dat onnodige functionaliteiten, zoals plugin uploads, zijn uitgeschakeld tenzij absoluut noodzakelijk.
- Beperk superuser toegang en controleer regelmatig accounts die deze rechten hebben.
Bronnen
- Vendor Advisory – Changelog
- Product FAQ
- Third-party Advisory
- Exploit Code – Metasploit Module
- External Advisory
Vraag en Antwoord
Wat is CVE-2025-34104?
Het betreft een geauthenticeerde externe code-uitvoering kwetsbaarheid in Piwik (Matomo) door een fout in het plugin uploadmechanisme.
Welke systemen zijn kwetsbaar voor CVE-2025-34104?
Systemen die Piwik (nu Matomo) versies voor 3.0.3 draaien, zijn kwetsbaar als de plugin upload-functionaliteit is ingeschakeld.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar de nieuwste veilige versie 3.0.3 waar deze functionaliteit standaard is uitgeschakeld.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige PHP-code uitvoeren en volledige controle over het systeem verkrijgen.
