Een kritiek probleem is gevonden in HAXcms met een NodeJS-backend. Deze kwetsbaarheid, aangeduid als CVE-2025-54127, stelt aanvallers in staat om zonder authenticatie toegang te krijgen tot het systeem. Dit komt door een onveilige standaardconfiguratie die is bedoeld voor lokale ontwikkeling, maar gevaarlijk is als deze in productie wordt gebruikt.
Overzicht
De kwetsbaarheid bevindt zich in versies 11.0.6 en eerder van HAXcms, waarbij de standaardinstellingen geen autorisatie- of authenticatiecontroles uitvoeren. Deze configuratie stelt ‘HAXCMS_DISABLE_JWT_CHECKS’ in op ’true’, wat resulteert in een gebrek aan sessie-authenticatie.
Aanbevelingen
- Werk uw HAXcms installatie bij naar versie 11.0.7 of hoger om deze kwetsbaarheid te verhelpen.
- Controleer en pas uw configuratiebestanden aan om te zorgen voor correcte authenticatie- en autorisatiecontroles.
Vraag en Antwoord
Wat is CVE-2025-54127?
Het is een kwetsbaarheid in de standaardconfiguratie van HAXcms die onbevoegde toegang mogelijk maakt zonder verificatie of autorisatie.
Welke systemen zijn kwetsbaar voor CVE-2025-54127?
Versies van HAXcms onder 11.0.7 zijn kwetsbaar, voornamelijk als de standaardinstellingen worden gebruikt zonder aanpassingen.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versie 11.0.7 van HAXcms.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot uw systeem en gevoelige data compromitteren.
