Een recente kwetsbaarheid, CVE-2025-51479, in Onyx Enterprise Edition 0.27.0 maakt het mogelijk voor aanvallers om zonder de juiste bevoegdheden willekeurige gebruikersgroepen te wijzigen. Deze kwetsbaarheid, die een autorisatie-omzeiling in de functie update_user_group betreft, wordt mogelijk benut door zorgvuldig samengestelde PATCH-verzoeken naar het endpoint /api/manage/admin/user-group/id te sturen, waardoor checks voor curator-groep toewijzingen kunnen worden omzeild.
De technische details wijzen op een gemiddelde ernst met een CVSS-score van 5.4, wat impliceert dat netwerkgebonden aanvallen met lage complexiteit en minimale vereiste privileges mogelijk zijn. Hoewel de integriteits- en vertrouwelijkheidsimpact als laag worden beschouwd, blijft het risico op ongeautoriseerde wijzingen aanzienlijk.
Overzicht
CWE-639: Authorization Bypass Through User-Controlled Key
Het probleem laat aanvallers toe om op oneigenlijke wijze autorisatiemechanismen te omzeilen die normaal gesproken zouden verhinderen dat gebruikers zonder de juiste rechten gevoelige acties ondernemen.
Aanbevelingen
- Controleer uw systemen en applicaties op kwetsbaarheden en implementeer indien mogelijk updates of patches van de leverancier.
- Overweeg het beperken van toegang tot API-eindpunten en het verbeteren van logmonitoring voor verdachte activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51479?
CVE-2025-51479 is een autorisatie-omzeilings kwetsbaarheid in Onyx Enterprise Edition 0.27.0 die aanvallers toestaat om zonder de juiste bevoegdheden gebruikersgroepen te wijzigen.
Welke systemen zijn kwetsbaar voor CVE-2025-51479?
Alle systemen die draaien op Onyx Enterprise Edition 0.27.0 zijn kwetsbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Er is een update beschikbaar via de Onyx GitHub Repository die deze kwetsbaarheid aanpakt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door middel van deze kwetsbaarheid toegang krijgen tot de functionaliteit om gebruikersgroepen aan te passen, wat normaal niet mogelijk zou zijn zonder curatorbevoegdheden.
