Er is een ernstige kwetsbaarheid ontdekt in Audiobookshelf, een populaire zelf-gehoste audioboeken server. Dit probleem, geïdentificeerd als CVE-2025-57800, heeft een kritieke impact die kan leiden tot volledige accounts overname en token exfiltratie via een exploitatielink. Dit lek raakt systemen met OIDC-authenticatie en er is actie vereist.
Ondersteunende versies, zoals versies tussen 2.6.0 en 2.26.3, zijn kwetsbaar. Upgraden naar versie 2.28.0 is noodzakelijk om deze kwetsbaarheid te verhelpen. Zonder update is het eenvoudig voor een aanvaller om toegang te krijgen tot gevoelige tokens van gebruikers.
Overzicht
Audiobookshelf beperkt de redirect callback-URL’s niet goed tijdens de OIDC-authenticatie. Een aanvaller kan een login-link manipuleren, waardoor Audiobookshelf een willekeurige callback opslaat en later gebruikt tijdens de gebruiker-authenticatie redirect. De server stuurt een 302-redirect naar een URL onder controle van de aanvaller, waarbij gevoelige OIDC-tokens als URL-queryparameters worden toegevoegd.
Aanbevelingen
- Upgrade direct Audiobookshelf naar versie
2.28.0om deze kwetsbaarheid te verhelpen. - Controleer je serverlogs en historie op ongeautoriseerde toegang en verdachte redirect-URL’s.
- Informeer gebruikers over mogelijke accountcompromittering en adviseer hen om hun wachtwoorden te wijzigen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-57800?
Het betreft een kwetsbaarheid in Audiobookshelf die leidt tot exfiltratie van OIDC-tokens en mogelijke accounts overname.
Welke systemen zijn kwetsbaar voor CVE-2025-57800?
Systemen die Audiobookshelf versies gebruiken van 2.6.0 tot 2.26.3 en met OIDC-authenticatie zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versie 2.28.0. Het is essentieel dat u uw systemen bijwerkt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige gegevens, waaronder tokens, en volledige accounts overnemen, wat kan leiden tot ernstige vertrouwensschendingen en dataverlies.
