Een kritiek lek, CVE-2025-53528, is ontdekt in Cadwyn, dat zorgt voor API-versiebeheer vergelijkbaar met Stripe in FastAPI. Versies 5.4.3 en lager zijn kwetsbaar voor een Reflected XSS-aanval via de /docs endpoint. Hiermee kan een aanvaller JavaScript-code uitvoeren in de sessie van een gebruiker, wat potentieel kritieke gegevens kan openbaren.
Overzicht
De kwetsbaarheid bevindt zich in de parameter voor versie-informatie binnen de /docs endpoint van Cadwyn. Het probleem is opgelost in versie 5.4.4. Deze kwetsbaarheid scoort een 7.6 op de CVSS schaal, wat het als ‘hoog’ beoordeelt vanwege de lage complexiteit en de ernstige gevolgen, zoals impact op vertrouwelijkheid en integriteit.
Aanbevelingen
- Update Cadwyn naar versie 5.4.4 of hoger om bescherming te bieden tegen deze XSS-kwetsbaarheid.
- Controleer toepassingen die afhankelijk zijn van Cadwyn, vooral die welke de
/docsendpoint gebruiken. - Wees extra voorzichtig met toepassingen met een lage updatefrequentie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53528?
Het betreft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid waardoor aanvallers JavaScript-code kunnen uitvoeren binnen gebruikerstoepassingen van Cadwyn.
Welke systemen zijn kwetsbaar voor CVE-2025-53528?
Alle systemen die afhankelijk zijn van Cadwyn versie 5.4.3 of lager zijn kwetsbaar voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 5.4.4 van Cadwyn bevat een fix voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan JavaScript-code injecteren die wordt uitgevoerd in de gebruikerssessie, waarmee ze toegang kunnen verkrijgen tot gevoelige informatie en mogelijk controle over de applicatie kunnen krijgen.
