Er is een kritieke beveiligingslek ontdekt in Linkify, versie 4.3.1, dat manipulatie van HTML-attributen en gebruikergestuurde variabelen mogelijk maakt. Dit probleem staat bekend als ‘Prototype Pollution’ en kan resulteren in XSS-aanvallen. De kwetsbaarheid heeft een hoge impact met een CVSS-score van 8,8.
Overzicht
De kwetsbaarheid bekend als ‘Prototype Pollution’ in Linkify (linkifyjs) maakt het mogelijk voor aanvallers om HTML-kenmerken te manipuleren en gebruikergestuurde variabelen aan te vallen, wat kan leiden tot cross-site scripting-aanvallen (XSS). Deze kwetsbaarheid betreft Linkify versies van 4.3.1 tot vóór 4.3.2.
Aanbevelingen
- Update uw Linkify-installatie naar versie 4.3.2 of hoger, welke beschikbaar is via de officiële releasepagina.
Bronnen
- Gedetailleerde adviezen zijn te vinden bij Fluid Attacks.
- Meer informatie over Linkify is beschikbaar op GitHub en NPM.
Vraag en Antwoord
Wat is CVE-2025-8101?
Deze CVE beschrijft een prototype-pollution kwetsbaarheid in Linkify versie 4.3.1, die XSS-aanvallen mogelijk maakt via HTML-attributen.
Welke systemen zijn kwetsbaar voor CVE-2025-8101?
Systemen die Linkify versie 4.3.1 gebruiken zijn kwetsbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update naar versie 4.3.2 die de kwetsbaarheid oplost. Deze is beschikbaar op GitHub.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd in de context van de eindgebruiker, wat kan leiden tot gegevensdiefstal of verdere systeemcompromittering.
