Er is een kritiek beveiligingslek ontdekt in de Ai2 playground web service (playground.allenai.org), geïdentificeerd als CVE-2025-51865. Dit lek stelt aanvallers in staat om gevoelige informatie te verkrijgen door middel van Insecure Direct Object Reference (IDOR), waarbij thread keys in de URL kunnen worden geënumereerd.
Met een CVSS-score van 8.8 wordt deze kwetsbaarheid als hoog gewaardeerd en vormt het een serieus risico voor gebruikers en systemen wereldwijd.
Overzicht
De kwetsbaarheid treedt op vanwege een autorisatie omzeiling door een door de gebruiker gecontroleerde sleutel, geïdentificeerd als CWE-639. De risico’s zijn aanzienlijk vanwege de mogelijkheid voor een aanvaller om zonder authenticatie volledige toegang tot gevoelige informatie te krijgen.
Aanbevelingen
- Wees extra waakzaam bij het gebruik van de Ai2 playground web service en vermijd onnodige interacties totdat er een patch of update beschikbaar is.
- Controleer regelmatig de officiële kanalen van de leverancier voor updates en patches.
Bronnen
Meer informatie over de kwetsbaarheid kunt u vinden op de volgende link: GitHub – Secsys-FDU
Vraag en Antwoord
Wat is CVE-2025-51865?
Dit betreft een Insecure Direct Object Reference (IDOR) kwetsbaarheid in de Ai2 playground web service, waarbij aanvallers toegang kunnen krijgen tot gevoelige informatie door specifieke keys in de URL.
Welke systemen zijn kwetsbaar voor CVE-2025-51865?
Alle systemen die gebruik maken van de Ai2 playground web service zijn mogelijk kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen informatie over een bestaande patch. Gebruikers wordt aangeraden om de officiële kanalen in de gaten te houden voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige informatie ophalen en mogelijk volledige controle verkrijgen zonder geautoriseerde toegang.
