Een kritieke cross-site scripting (XSS)-kwetsbaarheid is ontdekt in de functiemogelijkheid van het videoNotFound 404ErrorMsg-parameter van WWBN AVideo versie 14.4 en de ontwikkelaarsversie master commit 8a8954ff. Deze kwetsbaarheid, aangeduid als CVE-2025-50128, maakt het mogelijk voor een aanvaller om via een speciaal geconstrueerd HTTP-verzoek willekeurige JavaScript-uitvoering op afstand te bewerkstelligen.
Als een gebruiker wordt overtuigd om een kwaadaardige webpagina te bezoeken, kan een aanvaller ongemerkt toegang krijgen tot gevoelige gegevens of onbedoeld acties uitvoeren in de browser van het slachtoffer. Vanwege de eenvoud van exploitatie en de ernstige gevolgen wordt dit lek als kritiek beoordeeld, met een CVSS-score van 9.6.
Overzicht
De kwetsbaarheid geraakt door de videoNotFound 404ErrorMsg parameter in de AVideo software, vertoont onjuiste neutralisatie van invoer tijdens het genereren van webpagina’s, wat leidt tot cross-site scripting (CWE-79).
Aanbevelingen
- Zorg ervoor dat uw systeem wordt bijgewerkt met de laatste patches zodra deze beschikbaar zijn.
- Overweeg om een firewall of web application firewall (WAF) te gebruiken om mogelijke XSS-aanvallen te detecteren en te blokkeren.
- Waarschuw gebruikers om geen onbekende of verdachte links te openen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50128?
Dit is een unieke identifier voor een kwetsbaarheid in de WWBN AVideo-software, waarmee cross-site scripting-aanvallen mogelijk zijn. Het werd ontdekt door Claudio Bozzato van Cisco Talos.
Welke systemen zijn kwetsbaar voor CVE-2025-50128?
De versies van WWBN AVideo die direct getroffen zijn, zijn versie 14.4 en de dev master commit 8a8954ff.
Bestaat er al een patch of beveiligingsupdate?
Het is cruciaal om het beveiligingsadvies van de softwareleverancier te volgen en hun website te controleren op updates en patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan dit lek gebruikten om willekeurige JavaScript uit te voeren in de browser van een gebruiker, wat kan leiden tot diefstal van gegevens of andere schadelijke activiteiten.
