Een pas ontdekte kwetsbaarheid, aangeduid als CVE-2025-7567, treft ShopXO versies tot 6.5.0. Het probleem bevindt zich in de verwerking van de bestanden header.html, waarbij een manipulatie van het argument lang/system_type leidt tot een cross-site scripting (XSS) aanval. Deze kwetsbaarheid kan op afstand worden geëxploiteerd, en er is al publiekelijk een exploit beschikbaar.
Overzicht
Deze kwetsbaarheid maakt het mogelijk dat aanvallers via een manipulatie in het bestand header.html kwaadaardige scripts injecteren. Dit valt onder de categorieën Cross Site Scripting (CWE-79) en Code Injection (CWE-94). Het CVSS-scoresysteem geeft deze kwetsbaarheid een basiswaarde van 5.3, wat het tot een middelmatige bedreiging classificeert.
Aanbevelingen
- Controleer of uw huidige ShopXO-versie tussen 6.0 en 6.5.0 valt.
- Update naar de nieuwste versies zodra een patch beschikbaar is.
Bronnen
- VDB-316265 | ShopXO header.html cross site scripting
- VDB-316265 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #607201 | ShopXO 6.5.0 Cross Site Scripting
- Submit #607165 | ShopXO 6.5.0 Cross Site Scripting (Duplicate)
- GitHub Issue
Vraag en Antwoord
Wat is CVE-2025-7567?
Een kwetsbaarheid in ShopXO die misbruik maakt van de header.html bestand via cross-site scripting.
Welke systemen zijn kwetsbaar voor CVE-2025-7567?
ShopXO versies van 6.0 tot en met 6.5.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen patch beschikbaar. Het is aan te raden om regelmatig updates van de leverancier te controleren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren, wat kan leiden tot een groot risico voor de integriteit en veiligheid van het systeem.
