Een ernstige cross-site scripting (XSS) kwetsbaarheid, CVE-2025-46410, is ontdekt in de WWBN AVideo software, versies 14.4 en dev master commit 8a8954ff. Deze kwetsbaarheid maakt gebruik van de managerPlaylists PlaylistOwnerUsersId parameter, waardoor een speciaal gevormd HTTP-verzoek kan leiden tot willekeurige JavaScript-uitvoering. Dit kan ertoe leiden dat een aanvaller via een schadelijke webpagina toegang krijgt tot gevoelige informatie.
Overzicht
WWBN AVideo, een bekend platform voor videohosting, blijkt gevoelig te zijn voor een cross-site scripting aanval. Deze kwetsbaarheid, aangeduid als CVE-2025-46410 met een CVSS-score van 9.6, is geclassificeerd als kritiek. Een aanvaller heeft geen specifieke privileges nodig om deze kwetsbaarheid te misbruiken, maar er is wel gebruikersinteractie vereist. Het impact op de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen is hoog.
Aanbevelingen
- Beperk toegang tot de kwetsbare functie tot het probleem is opgelost.
- Werk bij naar een niet-gekwetste versie zodra een update beschikbaar komt.
- Voer aanvullende beveiligingsmaatregelen in om effecten van exploitatie te minimaliseren.
Bronnen
Meer informatie over deze kwetsbaarheid is te vinden op de officiële Cisco Talos rapportpagina.
Vraag en Antwoord
Wat is CVE-2025-46410?
Het betreft een cross-site scripting (XSS) kwetsbaarheid binnen WWBN AVideo waardoor een aanvaller schadelijke JavaScript-code kan uitvoeren via de managerPlaylists PlaylistOwnerUsersId parameter.
Welke systemen zijn kwetsbaar voor CVE-2025-46410?
De kwetsbaarheid treft WWBN AVideo versies 14.4 en dev master commit 8a8954ff.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen patch beschikbaar. Gebruikers worden aangeraden om voorzorgsmaatregelen te treffen tot er een officiële update is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de kwetsbaarheid misbruiken om willekeurige JavaScript code uit te voeren, wat kan leiden tot potentiële toegang tot gevoelige gebruikersgegevens.
