Een kritiek beveiligingslek is ontdekt in de nova-tiptap rich text editor voor Laravel Nova, die onbevoegde gebruikers toestaat willekeurige bestanden te uploaden naar elke geconfigureerde Laravel schijf in de applicatie. Dit betekent dat kwaadwillenden mogelijk schadelijke bestanden kunnen uploaden, wat kan leiden tot Remote Code Execution (RCE) in sommige omgevingen.
Deze kwetsbaarheid is geïdentificeerd als CVE-2025-54082 en heeft een CVSS score van 8.1, wat de ernst benadrukt. Het probleem werd veroorzaakt door ontbrekende authenticatie middleware en onvoldoende bestandsvalidatie.
Overzicht
Het probleem betreft de /nova-tiptap/api/file upload endpoint die niet wordt beschermd door de noodzakelijke Nova en Nova.Auth middleware. Er is geen validatie van geüploade bestanden, wat kwaadwillenden de mogelijkheid geeft om bestanden zoals .php of binaire bestanden te uploaden naar openbare schijven.
Aanbevelingen
- Upgrade de
nova-tiptappackage naar versie 5.7.0 of nieuwer om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54082?
Dit is een specifiek beveiligingslek in de nova-tiptap package waarmee onbevoegde gebruikers willekeurige bestanden kunnen uploaden zonder verificatie.
Welke systemen zijn kwetsbaar voor CVE-2025-54082?
Alle systemen die nova-tiptap gebruiken in versies ouder dan 5.7.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 5.7.0 van nova-tiptap bevat de benodigde patch om dit probleem op te lossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige bestanden uploaden naar een openbaar toegankelijke schijf, wat kan leiden tot Remote Code Execution (RCE) of de distributie van schadelijke inhoud.
Een aanvaller kan zonder uw weten toegang krijgen tot het hele netwerk door misbruik te maken van slecht geconfigureerde bestandsopslag.
Controleer uw systemen vandaag nog en zorg voor een directe update naar de nieuwste versie om uw omgeving te beschermen.
