Er is een kritieke kwetsbaarheid ontdekt in Movable Type die een open redirect probleem veroorzaakt. Deze fout kan misbruikt worden waardoor gebruikers omgeleid worden naar een onbetrouwbare site, mogelijk zelfs tijdens het herstellen van wachtwoorden. Dit is van invloed op verschillende versies van zowel de Software Edition als de Cloud Edition van Movable Type, geproduceerd door Six Apart Ltd.
Overzicht
Movable Type, een populair content management systeem, blijkt kwetsbaar te zijn voor een ‘Open Redirect’-probleem (CWE-601). Dit betekent dat kwaadwillenden een parameter in een wachtwoordherstelpagina kunnen misbruiken om gebruikers onbewust naar een andere, mogelijk schadelijke URL te leiden.
Kwetsbare Versies
- Movable Type (Software Edition) 8.0.0 tot 8.0.6 en 8.4.0 tot 8.4.2
- Movable Type (Software Edition) 7 r.5508 en eerder
- Movable Type Advanced (Software Edition) 8.0.0 tot 8.0.6 en 8.4.0 tot 8.4.2
- Movable Type Advanced (Software Edition) 7 r.5508 en eerder
- Movable Type Premium (Software Edition) 2.09 en eerder, 1.66 en eerder
- Movable Type Premium (Advanced Edition) 2.09 en eerder, 1.66 en eerder
- Movable Type (Cloud Edition) 8.6.0, 7 r.5508
- Movable Type Premium (Cloud Edition) 2.09, 1.66
Samenwerkingsverbanden
De kwetsbaarheid is gepubliceerd door JPCERT, de Japanse Computer Emergency Response Team Coordination Center. Hun expertise heeft gezorgd voor een gedetailleerde evaluatie van het probleem en de mogelijke effecten.
Metrics
Volgens het CVSS v.3.0 systeem heeft deze kwetsbaarheid een middelhoog basisrisico met een score van 4.3, en volgens CVSS v.4.0 een middelhoog basisrisico met een score van 5.1.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55706?
Een kwetsbaarheid in Movable Type waarbij gebruikers via een onbeveiligde URL-omleiding naar een andere site kunnen worden geleid.
Welke systemen zijn kwetsbaar voor CVE-2025-55706?
Alle versies van Movable Type’s Software en Cloud Editions die in het ‘Kwetsbare Versies’ gedeelte staan vermeld.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is al een update beschikbaar gesteld, versie 8.4.3, die het probleem aanpakt en beveiligingsmaatregelen versterkt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan eindgebruikers misleiden om persoonlijke gegevens zoals wachtwoorden in te voeren op schadelijke sites door middel van een gerichte omleiding.
