HAX CMS heeft een kritieke beveiligingsfout (CVE-2025-54139) waardoor clickjacking-aanvallen mogelijk zijn. De kwetsbaarheid laat toe dat HAX CMS pagina’s worden geladen zonder beveiliging tegen framing, wat mogelijk is in oudere versies van zowel de NodeJS als PHP versies van de software. Dit betekent dat kwaadwillenden gebruikers kunnen manipuleren om onbedoelde acties uit te voeren binnen de HAX CMS applicatie.
Overzicht
In HAX CMS versies hieronder 11.0.13 voor NodeJS en 11.0.8 voor PHP, ontbreken headers die het inladen van de pagina’s binnen een iframe op andere websites verhinderen. Hierdoor kunnen aanvallers UI redressing aanvallen uitvoeren, met name clickjacking, om gebruikers te lokken tot ongewenste acties.
Aanbevelingen
- Update HAX CMS naar de laatste versie:
haxcms-nodejs
versie 11.0.13 en
haxcms-php
versie 11.0.8.
- Zorg ervoor dat uw beveiligingsinstellingen van
iframeheaders correct zijn geconfigureerd om dit soort aanvallen tegen te gaan.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54139?
Een beveiligingslek in HAX CMS dat clickjacking mogelijk maakt door gebrek aan juiste iframe headers.
Welke systemen zijn kwetsbaar voor CVE-2025-54139?
HAX CMS applicaties die versies gebruiken van < 11.0.13 voor NodeJS en < 11.0.8 voor PHP.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn updates beschikbaar voor zowel de NodeJS als PHP versies van HAX CMS.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan frame safety headers misbruiken om gebruikers te misleiden voor onbedoelde handelingen binnen de HAX CMS.
