Een kritieke kwetsbaarheid, CVE-2025-51464, is onlangs ontdekt in de Aim-tool versie 3.28.0. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om kwaadwillende JavaScript-code uit te voeren in de browsers van nietsvermoedende gebruikers via kwaadwillende Python-code die naar de /api/reports endpoint wordt gestuurd.
Indien uitgebuit, kan een aanvaller zonder enige interactie van de gebruikerskant toegang krijgen tot gevoelige informatie en de integriteit van de gegevens aantasten. Het probleem ligt in het gebrek aan sanitatie en sandboxmaatregelen die voorkomen dat scripts worden uitgevoerd via pyodide.code.run_js().
Overzicht
- CVE-ID: CVE-2025-51464
- Type kwetsbaarheid: Cross-site Scripting (XSS)
- CVSS Score: 8.8 (Hoog)
- Aanvalsvector: Netwerk
- Complexiteit van aanval: Laag
- Benodigd gebruikersinteractie: Vereist
Aanbevelingen
Controleren of uw Aim-implementatie kwetsbaar is en zo nodig maatregelen nemen:
- Update naar de nieuwste versie van Aim zodra deze beschikbaar is.
- Zorg voor extra beveiligingslagen, zoals Web Application Firewalls (WAF).
- Beperk de toegang tot gevoelige interfaces en endpoints.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51464?
Dit is een Cross-site Scripting kwetsbaarheid in Aim 3.28.0 waarmee kwaadaardige JavaScript kan worden uitgevoerd in de browser van een slachtoffer.
Welke systemen zijn kwetsbaar voor CVE-2025-51464?
Systemen die Aim versie 3.28.0 gebruiken zonder de noodzakelijke patches of beveiligingsmaatregelen.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen officiële patch beschikbaar. Controleer de Aim repository regelmatig voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot vertrouwelijke informatie, deze wijzigen of verwijderen zonder dat de gebruiker hiervan op de hoogte is.
