Er is een kritieke kwetsbaarheid ontdekt in de IPX image optimizer, beschreven onder CVE-2025-54387, waardoor path traversaal mogelijk is. Dit betekent dat een aanvaller ongeoorloofde toegang kan krijgen tot gevoelige bestandspaden via prefix matching omzeiling. Deze kwetsbaarheid betekent dat wanneer de toestane mappen niet eindigen met een padseparator, een aanvaller meer toegang kan verkrijgen dan bedoeld.
Overzicht
IPX, als image optimizer aangedreven door sharp en svgo, blijkt kwetsbaar voor padoverschrijding in eerder vrijgegeven versies. Versies die worden beïnvloed zijn 1.3.1 en eerder, tussen 2.0.0-0 en 2.1.0, en tussen 3.0.0 en 3.1.0.
Aanbevelingen
- Update uw software: Het probleem is opgelost in versies 1.3.2, 2.1.1 en 3.1.1. Het is dringend aanbevolen om te updaten naar een van deze versies.
- Beveilig uw paden: Zorg ervoor dat toestane mappen eindigen met een pad separator om deze vorm van aanvallen te voorkomen.
Bronnen
- Beveiligingsadvies van GitHub
- IPX commit fix
- Release notities v1.3.2
- Release notities v2.1.1
- Release notities v3.1.1
Vraag en Antwoord
Wat is CVE-2025-54387?
CVE-2025-54387 is een beveiligingslek in de IPX-software dat een aanvaller toestaat om paden buiten de bedoelde mappen te benaderen wanneer die paden ongepast worden gecontroleerd.
Welke systemen zijn kwetsbaar voor CVE-2025-54387?
Systemen die IPX versies gebruiken: 1.3.1 en lager, 2.0.0-0 tot 2.1.0, en 3.0.0 tot 3.1.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn patches uitgebracht in versies 1.3.2, 2.1.1 en 3.1.1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk ongeautoriseerde toegang verkrijgen tot bestanden en gegevens die normaal ontoegankelijk zouden moeten zijn vanwege deze omzeiling van de padcontroles.
