Er is een kritieke veiligheidsfout ontdekt in ExpressGateway express-gateway tot versie 1.16.10. Deze kwetsbaarheid, bekend als CVE-2025-9095, kan leiden tot cross-site scripting (XSS) via de REST Endpoint lib/rest/routes/users.js. Dit betekent dat kwaadwillenden op afstand schadelijke scripts kunnen uitvoeren in de kwetsbare toepassing, wat gebruikersgegevens in gevaar kan brengen.
Overzicht
De kwetsbaarheid heeft betrekking op onbekende verwerking binnen de REST Endpoint module van ExpressGateway express-gateway. De fout kan veroorzaakt worden door manipulatie van bepaalde data en leidt tot cross-site scripting en mogelijk code-injectie. De kwetsbaarheid heeft een CVSS basis score van 5.1 volgens versie 4.0, wat duidt op een middelmatige ernst.
Kwetsbare Versies
1.16.0 t/m 1.16.10
Aanbevelingen
- Upgrade naar de nieuwste niet-gekwetste versie van ExpressGateway zodra beschikbaar.
- Voer regelmatige beveiligingsupdates en patches uit om vergelijkbare problemen te voorkomen.
- Monitor uw systemen op verdachte activiteiten specifiek gericht op XSS-aanvallen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9095?
Dit betreft een kwetsbaarheid in de ExpressGateway express-gateway REST Endpoint toepassing waarmee cross-site scripting mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-9095?
Alle systemen die de versies 1.16.0 tot en met 1.16.10 van express-gateway gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er nog geen reactie van de leverancier. Blijf de officiële kanalen in de gaten houden voor een update.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan creatieve scripts uitvoeren die de veiligheid van gebruikersgegevens in gevaar brengen en mogelijk verdere toegang tot andere delen van het systeem krijgen.
