Een beveiligingslek (CVE-2025-55620) in de valuateJavascript() functie van Reolink versie 4.54.0.4.20250526 maakt het mogelijk voor aanvallers om via een speciaal gevormde payload willekeurige webscripts of HTML uit te voeren. Dit type cross-site scripting (XSS) kwetsbaarheid kan leiden tot ongeauthoriseerde toegang en verstoring.
Overzicht
De kwetsbaarheid, geïdentificeerd als CWE-79, wordt veroorzaakt door onvoldoende neutralisatie van invoer tijdens de generatie van webpagina’s. Het basisrisico is beoordeeld als medium met een score van 6.1. Aanvallers hebben geen speciale privileges nodig en hoeven enkel sociaal-technische methodes toe te passen om de gebruiker te verleiden tot interactie met de kwaadaardige link.
Aanbevelingen
- Controleer op updates vanuit de leverancier om te zien of er patches beschikbaar zijn voor Reolink versie 4.54.0.4.20250526.
- Implementeer webapplicatie-firewalls en zorg dat uw beveiligingssoftware up-to-date is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55620?
Het betreft een XSS kwetsbaarheid in de functie valuateJavascript() van de Reolink applicatie, versie 4.54.0.4.20250526.
Welke systemen zijn kwetsbaar voor CVE-2025-55620?
Systemen die deze specifieke versie van de Reolink software gebruiken zonder de nodige updates.
Bestaat er al een patch of beveiligingsupdate?
Het wordt aangeraden om contact op te nemen met de leveranciers van Reolink voor informatie over beschikbare patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan cross-site scripting uitvoeren om toegang te krijgen tot gevoelige informatie of het gedrag van de webapplicatie te verstoren.
