Er is een ernstige cross-site scripting (XSS) kwetsbaarheid ontdekt in versie 0.5.249 van andisearch. Het betreft CVE-2025-51951, en de kwetsbaarheid kan leiden tot ongeautoriseerde acties binnen de applicatie wanneer kwaadwillende scripts worden ingesloten.
Deze kwetsbaarheid, met een CVSS-score van 6.1, maakt het mogelijk voor een aanvaller zonder inloggegevens om kwaadaardige scripts uit te voeren via de webgebruikersinterface. Dit stelt de aanvaller in staat vertrouwelijke gegevens gedeeltelijk te compromitteren.
Overzicht
De kwetsbaarheid valt onder CWE-79, een veelvoorkomend beveiligingslek waarbij invoer onvoldoende wordt geneutraliseerd bij het genereren van webpagina’s, resulterend in denkwartige cross-site scripting-aanvallen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51951?
CVE-2025-51951 betreft een cross-site scripting (XSS) kwetsbaarheid in andisearch v0.5.249, waarbij misbruik kan leiden tot het uitvoeren van kwaadaardige scripts.
Welke systemen zijn kwetsbaar?
Alle systemen met andisearch versie 0.5.249 zijn kwetsbaar voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen informatie beschikbaar over een beschikbare patch. Controleer regelmatig de officiële bronnen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan vertrouwelijke gegevens gedeeltelijk blootleggen en manipuleren door kwaadaardige scripts in te voegen, zonder eerst in te loggen.
