Er is een kritieke raceconditie-kwetsbaarheid ontdekt in de unzip-functionaliteit van aVideoEncoder.json.php van WWBN AVideo versies 14.4 en dev master commit 8a8954ff. Deze kwetsbaarheid, aangeduid als CVE-2025-25214, kan door een reeks speciaal vervaardigde HTTP-aanvragen leiden tot het uitvoeren van willekeurige code.
Met een CVSS-score van 8.8, wordt deze kwetsbaarheid als ‘Hoog’ beoordeeld. Aanvallers kunnen deze kwetsbaarheid op afstand exploiteren zonder enige interactie van de gebruiker, wat resulteert in hoge impact op de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.
Overzicht
De kwetsbaarheid is het gevolg van een raceconditie (CWE-362) waarbij meerdere verzoeken tegelijk toegang krijgen tot gedeelde bronnen zonder juiste synchronisatie. Hierdoor kan een aanvaller, met lage privileges, controle over het hele systeem krijgen zonder dat de gebruiker dit merkt.
Aanbevelingen
- Controleer of er updates of patches beschikbaar zijn voor uw WWBN AVideo-installatie en pas deze zo snel mogelijk toe.
- Monitor HTTP-verkeer naar uw AVideo-server op ongewone patronen die op een aanvallerspoging kunnen wijzen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-25214?
CVE-2025-25214 is een raceconditie-kwetsbaarheid gevonden in de unzip-functionaliteit van WWBN AVideo.
Welke systemen zijn kwetsbaar voor CVE-2025-25214?
WWBN AVideo versies 14.4 en dev master commit 8a8954ff zijn bekend als kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Mogelijk zijn er updates of patches beschikbaar van de leverancier, raadpleeg de officiële kanalen van WWBN voor meer informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige code uitvoeren op het systeem, wat kan leiden tot ongeautoriseerde toegang, datalekken en verstoring van de dienst.
Controleer uw systemen vandaag nog om mogelijke uitbuiting te voorkomen.
