Een ernstige kwetsbaarheid (CVE-2025-50904) is ontdekt in WinterChenS my-site, tot commit 6c79286 (2025-06-11). Hierdoor kan een aanvaller zonder token toegang krijgen tot de /admin/ API. Dit betekent dat er potentieel ongeautoriseerde toegang mogelijk is tot beheerdersfuncties van de website.
Overzicht
De authenticatie-bypass kwetsbaarheid stelt kwaadwillenden in staat om zonder de vereiste inloggegevens toegang te verkrijgen tot beschermde delen van de site. Dit kan leiden tot onder andere het wijzigen van instellingen of toegang tot gevoelige informatie.
Aanbevelingen
- Controleer uw installatie van WinterChenS my-site en zorg ervoor dat uw versie niet kwetsbaar is door de commit 6c79286 toe te passen indien deze nog niet is geïmplementeerd.
- Volg de beveiligingsadviezen van uw IT-afdeling en pas beveiligingspatches onmiddellijk toe wanneer deze beschikbaar komen.
Bronnen
- Meer informatie is te vinden op de GitHub issue pagina.
Vraag en Antwoord
Wat is CVE-2025-50904?
Dit is een authenticatie-bypass kwetsbaarheid in WinterChenS my-site waarbij een aanvaller toegang kan krijgen tot de /admin/ API zonder een geldig token.
Welke systemen zijn kwetsbaar voor CVE-2025-50904?
Alle systemen die gebruikmaken van versies van WinterChenS my-site tot commit 6c79286 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer de beschikbaarheid van beveiligingspatches op de GitHub issue pagina en implementeer de aanbevolen commit.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan onrechtmatig toegang krijgen tot de admin API, waardoor potentiële wijzigingen aan de siteconfiguraties en toegang tot gevoelige gegevens mogelijk zijn.
