Er is een kritiek beveiligingslek geïdentificeerd in HAX CMS NodeJs, aangeduid als CVE-2025-54128. Gebruikers van versies 11.0.7 en lager worden getroffen door een uitgeschakelde Content Security Policy, waardoor Cross-Site Scripting (XSS) aanvallen mogelijk zijn. Dit kan ongeautoriseerde scriptuitvoering mogelijk maken in de browsers van gebruikers, met potentiële controle over hun sessies.
De kwetsbaarheid is geclassificeerd als hoog met een CVSS-score van 7.2. Het probleem ontstaat doordat de contentSecurityPolicy expliciet is uitgeschakeld in de Helmet configuratie van app.js. Deze configuratiefout maakt het productieapplicaties erg kwetsbaar voor XSS-aanvallen.
Overzicht
De kwetsbaarheid is aanwezig in HAX CMS NodeJs versies lager dan 11.0.8, waarmee gebruikers hun microsite-universe kunnen beheren via een NodeJs backend.
Aanbevelingen
- Update naar versie 11.0.8 of hoger van HAX CMS NodeJs om uw omgeving te beveiligen.
- Controleer of de Content Security Policy correct is ingesteld en niet meer is uitgeschakeld in de configuratiebestanden.
Bronnen
- Lees de volledige veiligheidsadvies op GitHub.
- Bekijk de bijbehorende code wijziging.
Vraag en Antwoord
Wat is CVE-2025-54128?
Deze CVE identificeert een niet-werkende Content Security Policy in het NodeJs versie van HAX CMS, die leidt tot een verhoogd risico op Cross-Site Scripting (XSS) aanvallen.
Welke systemen zijn kwetsbaar?
Alle implementaties van HAX CMS NodeJs versies < 11.0.8 zijn kwetsbaar voor deze beveiligingsfout.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 11.0.8 van HAX CMS NodeJs bevat een patch die de Content Security Policy in de configuratie correct inschakelt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts uitvoeren in de context van een gebruiker, wat kan leiden tot sessie-diefstal en ongeautoriseerde toegang tot hun accountgegevens.
