Er is een gevaarlijke kwetsbaarheid ontdekt in de open source webtoepassing WeGIA, specifiek gericht op liefdadigheidsinstellingen en Portugeestalige gebruikers. Deze kwetsbaarheid, aangeduid als CVE-2025-53930, maakt het mogelijk voor aanvallers om schadelijke scripts in te voegen via de especie-parameter in de adicionar_especie.php-endpoint. Dit betekent dat zodra de aangetaste pagina wordt bezocht, de kwaadaardige scripts automatisch worden uitgevoerd, waardoor gevoelige gegevens kunnen worden gecompromitteerd.
Overzicht
De kwetsbaarheid in WeGIA, geclassificeerd onder CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'), heeft een basis CVSS-score van 6.4. Dit wijst op een middelmatige ernst, waarbij de aanval op netwerkniveau plaatsvindt zonder dat er gebruikersprivileges vereist zijn.
Aanbevelingen
- Werk WeGIA bij naar versie 3.4.5 of hoger om de kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53930?
Het is een beveiligingslek in WeGIA dat betrekking heeft op stored cross-site scripting (XSS) waarmee aanvallers kwaadaardige code kunnen injecteren die wordt uitgevoerd wanneer gebruikers de geïnfecteerde pagina bezoeken.
Welke systemen zijn kwetsbaar voor CVE-2025-53930?
Versies van WeGIA jonger dan 3.4.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.4.5 van WeGIA verhelpt deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die op de server worden opgeslagen en automatisch worden uitgevoerd, wat kan resulteren in toegang tot gevoelige gebruikersgegevens zonder de gebruiker hiervan op de hoogte te zijn.
