Een ernstige stored XSS-kwetsbaarheid is ontdekt in de Quantum Manager component (versies 1.0.0 tot 3.2.0) voor Joomla, ontwikkeld door Norrnext. Deze kwetsbaarheid maakt het mogelijk dat aanvallers via de SVG-uploadfunctie schadelijke scripts kunnen uploaden zonder dat er voldoende validatie plaatsvindt.
Overzicht
De kwetsbaarheid betreft een gebrekkige zuivering van invoer bij het uploaden van SVG-bestanden. Dit maakt het mogelijk voor kwaadwillenden met hoge privileges om kwaadaardige JavaScript-code in te sluizen, wat kan resulteren in ongeautoriseerde toegang tot gevoelige gegevens.
Technische Details
Kwetsbare versie: 1.0.0-3.2.0
CVSS Score: 8.5 (Hoog)
Attack Vector: Netwerk, met een lage complexiteit en geen vereiste gebruikersinteractie.
Aanbevelingen
- Werk de Quantum Manager component bij naar een versie hoger dan 3.2.0.
- Controleer de serverconfiguratie om uploadrestricties strenger toe te passen.
- Monitor netwerk- en applicatielogs op verdachte activiteiten.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54300?
Dit is een beveiligingslek dat wordt aangeduid als een stored XSS kwetsbaarheid in de Quantum Manager component voor Joomla. Het stelt aanvallers in staat om schadelijke scripts op een server te plaatsen.
Welke systemen zijn kwetsbaar voor CVE-2025-54300?
Alle systemen die de Quantum Manager component voor Joomla in de versies 1.0.0 tot 3.2.0 gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om de component bij te werken naar een versie hoger dan 3.2.0.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts insluizen die zonder medeweten van een gebruiker toegang kunnen krijgen tot hun persoonlijke gegevens.
