Eén van uw systemen kan kwetsbaar zijn voor een kritieke cross site scripting (XSS)-fout, zoals gedocumenteerd in CVE-2025-9170. Deze kwetsbaarheid treft de Tax Rates Module van SolidInvoice tot en met versie 2.4.0. Kwaadwillenden kunnen deze kwetsbaarheid misbruiken om schadelijke scripts uit te voeren op uw systemen, hetgeen kan leiden tot ongewenste toegang of manipulatie van gegevens.
Deze aanvalsmethode is openbaar beschikbaar, en hoewel de leverancier op de hoogte is gesteld, is er tot op heden geen reactie gekomen. Controleer en bescherm uw systemen onmiddellijk om potentieel misbruik te voorkomen.
Overzicht
Een onbekende functie binnen het bestand /tax/rates van SolidInvoice kan worden misbruikt door gemanipuleerde invoer, wat leidt tot code-injectie en cross site scripting. Dit brengt uw systeem in gevaar wanneer aanvallers deze technieken op afstand kunnen inzetten.
Aanbevelingen
- Controleer of uw versie 2.0 t/m 2.4.0 van SolidInvoice gebruikt.
- Kies voor een snellere aanpak door de toegang tot het kwetsbare pad voorlopig te blokkeren totdat een patch beschikbaar is.
- Neem passende beveiligingsmaatregelen door uw netwerk en toepassingen regelmatig door te lichten op dergelijke kwetsbaarheden.
Bronnen
- VDB-320547 | SolidInvoice Tax Rates vulerability
- VDB-320547 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #630627 | Open-Source SolidInvoice 2.4.0 Stored Cross-Site Scripting (XSS)
- Proof of Concept Exploit
Vraag en Antwoord
Wat is CVE-2025-9170?
Het betreft een cross site scripting kwetsbaarheid in de Tax Rates Module van SolidInvoice die misbruik mogelijk maakt via manipuleerbare input.
Welke systemen zijn kwetsbaar voor CVE-2025-9170?
Versies 2.0 tot en met 2.4.0 van SolidInvoice zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment is er geen reactie van de leverancier en geen patch beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts in uw systeem uitvoeren, wat toegang geeft tot gevoelige informatie of manipulatie van functionele module-elementen mogelijk maakt.
