Er is een kwetsbaarheid ontdekt in de software atjiu pybbs, specifiek in versie 6.0.0 en eerder, die tot informatieblootstelling kan leiden via foutmeldingen. Deze kwetsbaarheid is geïdentificeerd als CVE-2025-8548 en raakt de functie sendEmailCode in het bestand src/main/java/co/yiiu/pybbs/controller/api/SettingsApiController.java. De kwetsbaarheid kan op afstand worden aangevallen, met complexe technieken, maar is desondanks openbaar en potentieel bruikbaar.
Overzicht
De kwetsbaarheid heeft een basis score van 6.3 binnen het CVSS v4.0 framework, wat betekent dat deze als medium ernstig wordt beoordeeld. De exploitatiecomplexiteit is hoog en er zijn geen privileges vereist voor de aanval, die zonder gebruikersinteractie kan worden uitgevoerd.
Aanbevelingen
- Het is sterk aanbevolen om de beschikbare patch toe te passen, welke te vinden is onder commit identifier
234197c4f8fc7ce24bdcff5430cd42492f28936aom dit probleem te verhelpen.
Bronnen
- VDB-318677 | atjiu pybbs Registered Email SettingsApiController.java sendEmailCode information exposure
- Issue tracking op GitHub
- Patch op GitHub
Vraag en Antwoord
Wat is CVE-2025-8548?
CVE-2025-8548 betreft een informatieblootstellingskwetsbaarheid via foutmeldingen in de software atjiu pybbs, veroorzaakt door manipulatie van het email argument in een specifieke functie.
Welke systemen zijn kwetsbaar voor CVE-2025-8548?
De kwetsbare systemen zijn die waarop versie 6.0.0 of eerder van atjiu pybbs draait, met name de module van de geregistreerde e-mailhandler.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar onder commit 234197c4f8fc7ce24bdcff5430cd42492f28936a. Het wordt aanbevolen deze zo spoedig mogelijk toe te passen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel gevoelige informatie over het systeem blootleggen door foutmeldingen uit te buiten in situaties waar een controlegegeven, in dit geval een e-mailadres, verkeerd beheerd wordt in de betreffende functie.
