Kritieke kwetsbaarheid ontdekt in openviglet shio: CVE-2025-8343

Er is een kritieke kwetsbaarheid ontdekt in openviglet shio, die als CVE-2025-8343 is geregistreerd. De kwetsbaarheid heeft invloed op de bestandsuploadfunctie shStaticFilePreUpload in de ShStaticFileAPI.java module, en stelt aanvallers in staat om padtraversalen uit te voeren. Deze aanval kan op afstand worden uitgevoerd en is openbaar gemaakt, wat een verhoogd risico met zich meebrengt voor gebruikers die een van de getroffen versies gebruiken.

Versies van openviglet shio tot en met 0.3.8 zijn kwetsbaar voor dit probleem. Het gevaar is aanzienlijk, vooral aangezien de exploit al openbaar beschikbaar is gesteld. Systeemeigenaren worden dringend aangeraden om maatregelen te nemen om hun systemen te beveiligen.

Overzicht

De kwetsbaarheid maakt gebruik van een path traversal aanval door de argumenten van fileName te manipuleren in shio-app/src/main/java/com/viglet/shio/api/staticfile/ShStaticFileAPI.java. Deze aanval kan worden uitgevoerd door kwaadwillenden die slechts beperkte toegangsrechten nodig hebben, waardoor het een aantrekkelijk doelwit is voor aanvallers.

Aanbevelingen

• Controleer of uw systeem een van de volgende kwetsbare versies gebruikt:

  0.3.0, 0.3.1, 0.3.2, 0.3.3, 0.3.4, 0.3.5, 0.3.6, 0.3.7, 0.3.8

• Verhoog beveiligingscontroles en houd ontwikkelaars- en beveiligingsupdates in de gaten die het probleem kunnen oplossen.
• Volg de discussie en updates op de officiële issue-tracking pagina van GitHub voor eventuele patches of workarounds.

Bronnen

• VDB-318293 | openviglet shio ShStaticFileAPI.java shStaticFilePreUpload path traversal
• VDB-318293 | CTI Indicators (IOB, IOC, TTP, IOA)
• Submit #617679 | Viglet shio v0.3.8 Absolute Path Traversal

Vraag en Antwoord

Wat is CVE-2025-8343?

CVE-2025-8343 is een padtraversalkwetsbaarheid in de functie shStaticFilePreUpload binnen openviglet shio, die het potentiële risico heeft om op afstand te worden misbruikt zonder tussenkomst van de gebruiker.

Welke systemen zijn kwetsbaar voor CVE-2025-8343?

Alle systemen die gebruikmaken van openviglet shio versies 0.3.0 tot en met 0.3.8 zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Op dit moment is er nog geen officiële patch beschikbaar, maar gebruikers worden aangeraden om de updates en vermeldingen op GitHub te volgen.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan via padtraversal toegang verkrijgen tot bestanden buiten de beoogde mappenstructuur, wat kan leiden tot blootstelling van gevoelige gegevens.