Een kritieke kwetsbaarheid is ontdekt in Exrick xboot versies tot 3.3.4, geïdentificeerd als CVE-2025-8526. Deze kwetsbaarheid stelt een aanvaller in staat om zonder beperkingen bestanden te uploaden, wat kan leiden tot ernstige beveiligingsrisico’s. Vooral omdat aanvallers op afstand deze kwetsbaarheid kunnen uitbuiten.
De getroffen functie is te vinden in xboot-fast/src/main/java/cn/exrick/xboot/modules/base/controller/common/UploadController.java. Dit lek kan door kwaadwillende gebruikers worden misbruikt, aangezien het de Empowered (E:P) status heeft volgens CVSS-classificatie.
Overzicht
De kwetsbaarheid heeft invloed op de volgende versies:
- Exrick xboot 3.3.0
- Exrick xboot 3.3.1
- Exrick xboot 3.3.2
- Exrick xboot 3.3.3
- Exrick xboot 3.3.4
Met CVSS scores van 5.3 en 6.3 volgens verschillende versies, is deze kwetsbaarheid geklassificeerd als ‘Medium’ qua ernst. Het probleem wordt veroorzaakt door onbeperkte uploadmogelijkheden en gebrekkige toegangscontrole (CWE-434 en CWE-284).
Bronnen
- VDB-318652 | Exrick xboot UploadController.java upload unrestricted upload
- VDB-318652 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #622173 | Exrick xboot <=3.3.4 Unrestricted Upload of File with Dangerous Type (CWE-434)
- GitHub Issue Tracking
- Exploit en Issue Tracking
Vraag en Antwoord
Wat is CVE-2025-8526?
CVE-2025-8526 is een geïdentificeerde kwetsbaarheid in Exrick xboot die resulteert in onbeperkte upload van bestanden, met mogelijke ernstige gevolgen voor de beveiliging.
Welke systemen zijn kwetsbaar voor CVE-2025-8526?
Alle systemen die Exrick xboot versies 3.3.0 tot en met 3.3.4 draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment is er geen bekende patch voor deze specifieke kwetsbaarheid. Het wordt sterk aanbevolen om het updateskanaal van Exrick te volgen voor aankondigingen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel onbeperkt schadelijke bestanden uploaden, waardoor ze uitvoeringsrechten kunnen verkrijgen binnen het netwerk of systeem.
