In de Aikaan IoT management platform versie v3.25.0325-5-g2e9c59796 is een ernstige kwetsbaarheid ontdekt, aangeduid als CVE-2025-52351. Het platform verstuurt nieuw gegenereerde wachtwoorden in platte tekst via e-mail en voegt deze ook toe als query-parameter in de account activerings-URL. Dit kan leiden tot blootstelling van wachtwoorden via browsergeschiedenis, proxylogboeken en e-mailcaching. Deze kwetsbaarheid heeft gevolgen voor de vertrouwelijkheid van gebruikersgegevens tijdens de initiële onboarding.
Overzicht
De kwetsbaarheid betreft het zenden van gevoelige informatie in platte tekst, met name wachtwoorden, die in meerdere delen van het systeem kan worden onderschept. Dit verhoogt aanzienlijk het risico op gegevensdiefstal en ongeautoriseerde toegang.
Aanbevelingen
- Gebruik een versleutelde methode om wachtwoorden te versturen, zoals een tijdelijk token dat gebruikers in staat stelt hun wachtwoord zelf in te stellen bij de eerste aanmelding.
- Vermijd het opnemen van wachtwoorden in een URL-parameter; gebruik in plaats daarvan veilige sessie-handthemiek.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-52351?
Het betreft een beveiligingslek in de Aikaan IoT management platform dat wachtwoorden in platte tekst verstuurt, wat een risico vormt voor gegevensblootstelling.
Welke systemen zijn kwetsbaar voor CVE-2025-52351?
Alle systemen die gebruikmaken van de Aikaan IoT management platform versie v3.25.0325-5-g2e9c59796 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is nog geen patch bekendgemaakt. Gebruikers wordt aangeraden om voorzorgsmaatregelen te nemen zoals hierboven beschreven.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gebruikerswachtwoorden onderscheppen en toegang verkrijgen tot de accounts van gebruikers zonder hun medeweten, wat kan leiden tot potentieel volledige controle over het IoT-platform.
