Er is een ernstige beveiligingsfout ontdekt in Luxcal 4.5.2. Een gereflecteerde cross-site scripting (XSS) kwetsbaarheid in index.php stelt een aanvaller in staat om zonder authenticatie gegevens van andere gebruikers te stelen. Deze kwetsbaarheid heeft betrekking tot CVE-2020-26799 en is geclassificeerd als kritiek.
De kwetsbaarheid heeft een CVSS-score van 9.8, wat betekent dat zij zeer gevaarlijk is met directe gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem.
Overzicht
De kwetsbaarheid laat toe dat een aanvaller kwaadaardige scripts injecteert die worden uitgevoerd in de browsers van andere gebruikers wanneer zij de betreffende pagina bezoeken.
Aanbevelingen
- Controleer en update het gebruik van de
index.phpbij de implementatie van Luxcal. - Overweeg het toepassen van beveiligingspatches zodra deze beschikbaar zijn.
- Plaats aanvullende server-side validaties om het risico van schadelijke invoer te minimaliseren.
Bronnen
- Officiële Luxsoft downloadpagina
- Demonstratievideo over de kwetsbaarheid
- Gedetailleerde analyse van de XSS kwetsbaarheid
Vraag en Antwoord
Wat is CVE-2020-26799?
Het betreft een gereflecteerde XSS kwetsbaarheid in Luxcal 4.5.2 waarmee aanvallers gebruikersgegevens kunnen stelen.
Welke systemen zijn kwetsbaar voor CVE-2020-26799?
Elke implementatie van Luxcal 4.5.2 kan potentieel worden misbruikt als de kwetsbare index.php wordt gebruikt.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen officiële patch beschikbaar. Controleer regelmatig de officiële Luxsoft website voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gegevens van nietsvermoedende gebruikers stelen door het injecteren van kwaadaardige scripts, zonder dat er interactie van de gebruiker nodig is.
