Er is een kritieke cross-site scripting (XSS) kwetsbaarheid ontdekt in de Austrian Archaeological Institute (AI) OpenAtlas v8.11.0. Deze kwetsbaarheid, geïdentificeerd als CVE-2025-51534, stelt aanvallers in staat om arbitraire webscripts of HTML uit te voeren door een speciaal geprepareerde payload in het Naam-veld te injecteren. Dit kan leiden tot ongeautoriseerde toegang en potentieel schadelijke acties binnen het systeem.
Het risico is aanzienlijk omdat kwaadwillenden met toegang tot dit script volledige controle kunnen verkrijgen over de gebruikerservaring binnen OpenAtlas en mogelijk gevoelige gegevens kunnen stelen of manipuleren.
Aanbevelingen
- Monitor en valideer gebruikersinvoer strikt op schadelijke scripts of HTML-injecties.
- Implementeer updates of patches zodra deze beschikbaar zijn van OpenAtlas om de kwetsbaarheid te verhelpen.
Bronnen
- https://www.sec4you-pentest.com/schwachstellen/
- https://www.sec4you-pentest.com/schwachstelle/openatlas-stored-nested-xss-delete-button/
Vraag en Antwoord
Wat is CVE-2025-51534?
Deze CVE beschrijft een cross-site scripting (XSS) kwetsbaarheid in OpenAtlas v8.11.0 waardoor aanvallers schadelijke scripts kunnen uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-51534?
Systemen die draaien op OpenAtlas v8.11.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer de aanbieder OpenAtlas voor eventuele updates of patches die deze kwetsbaarheid verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts uitvoeren die de gebruikerservaring kunnen beïnvloeden of gevoelige informatie binnen het systeem kunnen stelen.
