Er is een nieuw beveiligingslek ontdekt in het Indico-platform, een populair evenementenbeheersysteem. Dit lek, gecategoriseerd als CVE-2025-53640, maakt gebruikersgegevens kwetsbaar voor onbevoegde actoren. Door een misbruik van een API-eindpunt kunnen basisgebruikersgegevens als naam, affiliatie en e-mail in bulk worden gedumpt. Dit treft systeembeheerders die gedetailleerde gegevensbeveiliging verwachten.
Indico-versies vanaf 2.2 tot aan 3.3.7 zijn kwetsbaar. Het is belangrijk om uw systeem bij te werken naar versie 3.3.7 om deze kwetsbaarheid te verhelpen.
Overzicht
Indico gebruikt Flask-Multipass voor multi-backend authenticatie, wat heeft geleid tot de ontdekking van deze kwetsbaarheid. Door een eindpunt in velden zoals ACL’s te misbruiken, kunnen kwaadwillenden toegang krijgen tot gevoelige gebruikersinformatie.
Aanbevelingen
- Werk uw Indico-installatie bij naar versie 3.3.7.
- Overweeg om gebruikerszoekopdrachten te beperken tot beheerders om gevoelige gegevens te beschermen.
- Pas webserverconfiguraties aan om toegang tot kwetsbare eindpunten te beperken.
Bronnen
- Lees de volledige beveiligingsadvies
- Instellingendocumentatie
- Upgrade handleiding
- Indico v3.3.7 release notes
Vraag en Antwoord
Wat is CVE-2025-53640?
CVE-2025-53640 is een kwetsbaarheid die gevoelige gebruikersinformatie op Indico-systemen blootstelt aan onbevoegde actoren.
Welke systemen zijn kwetsbaar voor CVE-2025-53640?
Alle Indico-versies vanaf 2.2 tot en met 3.3.6 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.3.7 is uitgebracht om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot persoonlijke details van gebruikers en deze gegevens in bulk verzamelen.
