Er is een ernstige opgeslagen XSS-kwetsbaarheid ontdekt in de No Boss Testimonials-component voor Joomla. Versies 1.0.0 tot 3.0.0 en 4.0.0 tot 4.0.2 zijn getroffen. Dit kan resulteren in volledige controle over de website door een aanvaller zonder noodzaak van verificatie of interactie van de gebruiker.
Overzicht
De opgeslagen cross-site scripting kwetsbaarheid (CVE-2025-54299) in de No Boss Testimonials-component stelt aanvallers in staat schadelijke scripts te injecteren in websites die door Joomla worden beheerd. Enkele van de belangrijkste kenmerken van deze kwetsbaarheid zijn:
- Vector: Netwerk
- Complexiteit aanvallen: Laag
- Privileges vereist: Geen
- Gebruikersinteractie: Passief
- Gevolgen voor confidentieeliteit en integriteit: Hoog
- Base score: 9.4 (Kritiek)
Aanbevelingen
Beheerders van Joomla-websites die getroffen versies van de No Boss Testimonials-component gebruiken, wordt dringend geadviseerd onmiddellijk te upgraden naar een gepatchte versie zodra deze beschikbaar is, of om de component tijdelijk te deactiveren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54299?
Een kritieke opgeslagen XSS-kwetsbaarheid in de No Boss Testimonials-component voor Joomla, geïdentificeerd door Sebastian Jeż.
Welke systemen zijn kwetsbaar voor CVE-2025-54299?
Websites met de No Boss Testimonials-component versies 1.0.0-3.0.0 en 4.0.0-4.0.2 voor Joomla zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch bekend. Beheerders moeten controleren op updates op de officiële website.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige codes injecteren zonder kennisgeving, die kunnen leiden tot gegevensdiefstal, complete systeemcompromittering, of schadelijke acties kunnen uitvoeren in de context van de gebruiker die het getroffen systeem genereert.
