De recent ontdekte kwetsbaarheid CVE-2025-36548 in WWBN AVideo versies 14.4 en dev master commit 8a8954ff maakt het mogelijk dat aanvallers via een cross-site scripting (XSS) aanval willekeurige JavaScript-code kunnen uitvoeren. Deze kwetsbaarheid kan worden misbruikt door een speciaal geconstrueerd HTTP verzoek, wat catastrofale gevolgen kan hebben voor de gebruikers van de getroffen systemen.
Overzicht
Het probleem zit in de cancelUri parameter van de LoginWordPress functie van AVideo. Bij een succesvolle exploit kan een aanvaller volledige controle krijgen over de gebruikerssessies of zelfs toegang verkrijgen tot gevoelige gegevens.
Aanbevelingen
- Het is sterk aan te raden om de nieuwste patches en updates te installeren zodra deze beschikbaar zijn om het risico te minimaliseren.
- Maak gebruikers erop attent om alleen op veilige en vertrouwde links te klikken en verdachte activiteiten te rapporteren.
Vraag en Antwoord
Wat is CVE-2025-36548?
CVE-2025-36548 betreft een hoog risico cross-site scripting (XSS) kwetsbaarheid in de LoginWordPress loginForm cancelUri parameter van WWBN AVideo.
Welke systemen zijn kwetsbaar voor CVE-2025-36548?
Versies van AVideo 14.4 en de dev master commit 8a8954ff zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen specifieke patch of update beschikbaar; houd de officiële updates van de leverancier in de gaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige JavaScript uitvoeren, wat kan leiden tot het overnemen van gebruikerssessies en diefstal van informatie.
