Een nieuwe kwetsbaarheid, aangeduid als CVE-2025-7748, is ontdekt in ZCMS versie 3.6.0. Deze kwetsbaarheid, met een CVSS-basisscore van 5.1, wordt als ‘medium’ aangemerkt en stelt aanvallers mogelijk in staat om cross site scripting-aanvallen uit te voeren via de ‘Create Article Page’ module. Dit probleem kan op afstand worden misbruikt en de exploit is openbaar beschikbaar gesteld. Dit betekent dat zonder uw medeweten een aanvaller toegang kan krijgen tot belangrijke delen van uw webomgeving.
Overzicht
De kwetsbaarheid bevindt zich in de Create Article Page module van ZCMS. Door manipulatie van het Title argument kan een aanvaller een cross site scripting aanval uitvoeren. Dit kan een aanvaller van een afstand uitvoeren, met beperkte privileges en zonder directe interactie van de gebruiker.
Metrics
- CVSS 4.0: 5.1 MEDIUM
- CVSS 3.1: 3.5 LOW
- CVSS 3.0: 3.5 LOW
- CVSS 2.0: 4.0
Bronnen
- VDB-316738 | ZCMS Create Article Page cross site scripting
- VDB-316738 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #615488 – ZCMS 3.6.0 Cross Site Scripting
- Github Exploit
Vraag en Antwoord
Wat is CVE-2025-7748?
Het betreft een Cross Site Scripting kwetsbaarheid in ZCMS, specifiek in de Create Article Page module.
Welke systemen zijn kwetsbaar voor CVE-2025-7748?
Alle systemen waarop ZCMS versie 3.6.0 draait, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen informatie over een beschikbare patch. Controleer regelmatig updates van de leverancier.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts uitvoeren in de context van de gebruiker die de Create Article Page bezoekt, wat kan leiden tot ongeoorloofde toegang tot gevoelige informatie.
