Er is een kritiek veiligheidslek ontdekt in de Thor-bibliotheek, versie voor 1.4.0, die kan leiden tot een onveilige shell-opdrachtconstructie vanuit bibliotheekinvoer. Dit maakt de software kwetsbaar voor OS-opdrachtinjectie (CWE-78), wat kan leiden tot ongeoorloofde acties binnen uw systemen.
Deze kwetsbaarheid heeft een lage basisimpact (CVSS-score 2.8), maar het blijft belangrijk om waakzaam te zijn en uw systemen te beschermen tegen potentiële exploitatie. Aangeraden wordt om zo snel mogelijk naar versie 1.4.0 te upgraden.
Overzicht
De Thor-bibliotheek versie voor 1.4.0 is kwetsbaar voor OS-opdrachtinjectie. Dit komt door een onvolledige neutralisatie van speciale elementen die worden gebruikt in een OS-opdracht.
Aanbevelingen
- Upgrade de Thor-bibliotheek naar versie 1.4.0 of nieuwer.
Bronnen
- Bekijk de commit die het probleem oplost
- HackerOne-rapport
- GitHub pull request
- Thor versie 1.4.0 release notes
Vraag en Antwoord
Wat is CVE-2025-54314?
Deze CVE beschrijft een kwetsbaarheid in de Thor-bibliotheek die kan leiden tot OS-opdrachtinjectie.
Welke systemen zijn kwetsbaar voor CVE-2025-54314?
Systemen die gebruikmaken van de Thor-bibliotheek, versie voor 1.4.0, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgrade naar versie 1.4.0 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door middel van deze kwetsbaarheid ongeauthecondeerde shell-opdrachten uitvoeren die kunnen leiden tot ongeautoriseerde systeemwijzigingen.
