Er is een belangrijk beveiligingsprobleem ontdekt in Akaunting v3.1.18. Met een cross-site scripting (XSS) kwetsbaarheid in de component /common/reports, kunnen aanvallers onbedoelde scripts of HTML uitvoeren door een speciaal gemaakte payload te injecteren in de naamparameter.
Dit lek kan ernstige gevolgen hebben, waarbij kwaadwillenden functionaliteiten kunnen verstoren of ongeautoriseerde scripts kunnen uitvoeren zonder dat gebruikersinteractie of verhoogde privileges nodig zijn.
Overzicht
De kwetsbaarheid wordt geclassificeerd als CVE-2025-55522 en heeft betrekking op een cross-site scripting probleem (CWE-79) in Akaunting versie 3.1.18. De basisscore volgens het CVSSv3.1 model is 6.5, een medium risico, en de beschikbaarheidsimpact is hoog. Dit betekent dat, hoewel de integriteit en vertrouwelijkheid niet direct in gevaar zijn, de algehele beschikbaarheid van het systeem ernstig kan worden beïnvloed door deze kwetsbaarheid.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55522?
Dit is een geregistreerde kwetsbaarheid betreffende een XSS-lek in de Akaunting software, versie 3.1.18.
Welke systemen zijn kwetsbaar voor CVE-2025-55522?
Alle systemen die gebruikmaken van Akaunting v3.1.18 zijn kwetsbaar voor deze XSS-aanval.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel nog geen informatie over beschikbare patches. Controleer regelmatig de software-updates van Akaunting en beveiligingsblogs voor nieuws.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang verkrijgen om schadelijke scripts uit te voeren in de browser van een gebruiker, wat kan leiden tot de verspreiding van malware of phishing-aanvallen.
