MapTiler Tileserver-php v2.0 heeft een ernstige kwetsbaarheid ontdekt in Cross Site Scripting (XSS), aangeduid met CVE-2025-44136. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om willekeurige HTML- of JavaScript-code uit te voeren in de browser van een slachtoffer, door gebruik te maken van de ‘layer’-parameter die zonder HTML-codering in een foutmelding wordt weergegeven.
Door hier misbruik van te maken, kan een aanvaller toegang krijgen tot gevoelige informatie en mogelijk controle over het systeem overnemen zonder dat interactie van de gebruiker vereist is. Het potentiële risico voor gebruikers en hun gegevens is aanzienlijk.
Overzicht
Deze kwetsbaarheid met een CVSS-score van 9.8 is als kritiek beoordeeld vanwege de hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Het vereist geen gebruikersinteractie en kan volledig extern worden uitgevoerd.
Aanbevelingen
- Controleer uw systemen met betrekking tot deze kwetsbaarheid en overweeg om de invloed ervan te beperken tot een update beschikbaar is.
- Volg de ontwikkelingen en updates van MapTiler of onderhoudscommunities op platforms zoals GitHub.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-44136?
Dit is een gerapporteerde kwetsbaarheid in MapTiler Tileserver-php v2.0, waardoor een aanvaller JavaScript- of HTML-code kan injecteren in de browser van een gebruiker.
Welke systemen zijn kwetsbaar voor CVE-2025-44136?
Het betreft specifiek de versie 2.0 van MapTiler Tileserver-php.
Bestaat er al een patch of beveiligingsupdate?
Er is op dit moment nog geen officiële patch vrijgegeven. Het is aan te raden de GitHub-pagina van MapTiler in de gaten te houden voor eventuele updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige gegevens en zelfs controle nemen over het systeem van het slachtoffer zonder enige toestemming of interactie van de gebruiker.
