Een kwetsbaarheid in Movable Type kan leiden tot het versturen van gemanipuleerde e-mails voor wachtwoordreset door een niet-geauthenticeerde aanvaller op afstand. Dit probleem maakt gebruik van een minder vertrouwde bron, en is als medium beoordeeld met een CVSS-score van 6,9.
Overzicht
Het gaat om een beveiligingsprobleem veroorzaakt door het gebruik van minder vertrouwde bronnen. Zoals gespecificeerd door de CWE-348, kan een aanvaller mogelijk een gemanipuleerde e-mail verzenden om een wachtwoord opnieuw in te stellen.
Betrokken producten
- Movable Type (Software Edition): Versies 8.0.0 tot 8.0.6, 8.4.0 tot 8.4.2 en 7 r.5508 en eerder
- Movable Type Advanced (Software Edition): Versies 8.0.0 tot 8.0.6, 8.4.0 tot 8.4.2 en 7 r.5508 en eerder
- Movable Type Premium (Software Edition): Versies 2.09 en eerder, 1.66 en eerder
- Movable Type Premium (Advanced Edition) (Software Edition): Versies 2.09 en eerder, 1.66 en eerder
- Movable Type (Cloud Edition): Versie 8.6.0 en 7 r.5508
- Movable Type Premium (Cloud Edition): Versies 2.09 en 1.66
CVSS Details
CVSS versie 3.0: score 5.3, vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS versie 4.0: score 6.9, vector CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53522?
Het verwijst naar een beveiligingslek in Movable Type waarbij een aanvaller wachtwoordreset-e-mails kan manipuleren via minder vertrouwde bronnen.
Welke systemen zijn kwetsbaar voor CVE-2025-53522?
Alle genoemde edities van Movable Type met de gespecificeerde versies zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, raadpleeg de officiële patch release voor meer informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan wachtwoordreset-e-mails manipuleren en potentieel toegang verschaffen tot gebruikersaccounts zonder detectie.
