Er is een kritiek beveiligingslek ontdekt in LimeSurvey versies 2.0+ tot en met 2.06+ Build 151014. Aanvallers kunnen zonder authenticatie willekeurige bestanden downloaden door misbruik te maken van het admin backup endpoint. Dit zou hen toegang kunnen geven tot gevoelige OS- en configuratiebestanden.
Deze kwetsbaarheid, geïdentificeerd als CVE-2025-34120, heeft een hoge ernst met een CVSS-score van 8.7. Dit betekent dat de kans op misbruik aanzienlijk is met weinig complexiteit van de aanval.
Overzicht
De kwetsbaarheid maakt gebruik van een fout in de validatie van seriële input aan het admin backup endpoint index.php/admin/update/sa/backup, waardoor aanvallers bestanden kunnen specificeren met een aangepaste datasupdateinfo payload. De bestanden worden verpakt in een ZIP-bestand en zonder authenticatie beschikbaar gesteld voor download.
Aanbevelingen
- Update uw LimeSurvey installatie naar de nieuwste versie om deze kwetsbaarheid te verhelpen.
Bronnen
- LimeSurvey beveiligingsadvies
- Technische beschrijving van Sec Consult
- Metasploit exploit module
- Packet Storm advisering
- VulnCheck advisering
Vraag en Antwoord
Wat is CVE-2025-34120?
Het betreft een kwetsbaarheid in LimeSurvey waarbij pakketten met willekeurige bestanden zonder authenticatie kunnen worden gedownload.
Welke systemen zijn kwetsbaar voor CVE-2025-34120?
LimeSurvey systemen met versies van 2.0+ tot en met 2.06+ Build 151014. Nieuwere versies die correct zijn gepatched zijn niet kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers worden aangeraden om hun systeem bij te werken naar de nieuwste versie van LimeSurvey.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot gevoelige bestanden op uw systeem, wat kan leiden tot verdere compromittering van de veiligheid van uw gegevens.
