Er is een kritieke kwetsbaarheid ontdekt in de open-source downloadmanager pyLoad. Deze kwetsbaarheid, CVE-2025-53890, maakt ongeoorloofde evaluatie van JavaScript in de CAPTCHA-verwerkingscode mogelijk. Als gevolg hiervan kan een niet-geverifieerde externe aanvaller willekeurige code uitvoeren in zowel de clientbrowser als mogelijk de backend-server. Deze situatie zorgt voor grote risico’s zoals sessiekaping, diefstal van inloggegevens en volledige externe uitvoering van systeemcode.
Deze kwetsbaarheid, geïdentificeerd als CWE-94, heeft een CVSS-score van 9.8, wat betekent dat het om een kritieke bedreiging gaat. De aanval vereist geen gebruikersinteractie of authenticatie en gebruikt het netwerk als aanvalsvector. Dit benadrukt de noodzaak voor onmiddellijke actie.
Overzicht
PyLoad versie < 0.5.0b3.dev89 is kwetsbaar. De oplossing voor dit probleem is aanwezig in versie 0.5.0b3.dev89, door commit 909e5c97885237530d1264cfceb5555870eb9546. Gebruikers worden sterk aangeraden hun installaties te updaten naar deze of een latere versie.
Aanbevelingen
- Update pyLoad naar minstens versie
0.5.0b3.dev89om de kwetsbaarheid te verhelpen. Bezoek de pull request pagina voor de details van de update. - Controleer uw systeemlogboeken op verdachte activiteiten die verband kunnen houden met de kwetsbaarheid.
- Zorg ervoor dat uw beveiligingssoftware up-to-date is en monitor uw netwerken op ongebruikelijke activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53890?
Het is een kritieke kwetsbaarheid in pyLoad die ongeoorloofde uitvoering van code op zowel de client als server mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-53890?
PyLoad versies ouder dan 0.5.0b3.dev89 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de patch is verwerkt in pyLoad versie 0.5.0b3.dev89.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw medeweten toegang krijgen tot het volledige systeem en gevoelige informatie stelen of de controle over het systeem overnemen.
