Een kritieke kwetsbaarheid, aangeduid als CVE-2025-4296, is ontdekt in het HotelRunner B2B-platform. Deze kwetsbaarheid, bekend als ‘Open Redirect’, maakt het mogelijk om onbedoelde URL-omleidingen uit te voeren, wat leidt tot gedwongen browsen. De systemen die zijn getroffen, draaien een versie van het platform van voor 04.06.2025.
De impact is significant omdat een aanvaller het verkeer van gebruikers ongemerkt kan omleiden naar onbetrouwbare sites, wat mogelijk kan leiden tot gegevensdiefstal of phishing-aanvallen. De kwetsbaarheid vereist geen specifieke rechten om te worden misbruikt en kan via het netwerk worden uitgevoerd.
Overzicht
Deze kwetsbaarheid treft het HotelRunner B2B-product en is specifiek vóór versie 04.06.2025 te vinden. Onderzoekers hebben bevestigd dat de aanvalslast eenvoudig via het netwerk kan worden ingezet, met een gewijzigde scope en lage integriteitsimpact.
Aanbevelingen
- Werk uw HotelRunner B2B-platform bij naar de nieuwste versie om deze kwetsbaarheid te verhelpen.
- Zorg ervoor dat alle URL-omleidingsmechanismen goed gecontroleerd zijn om gebruik van deze kwetsbaarheid te voorkomen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-4296?
CVE-2025-4296 betreft een kwetsbaarheid in HotelRunner B2B die misbruik van URL omleidingen mogelijk maakt, bekend als een ‘Open Redirect’.
Welke systemen zijn kwetsbaar voor CVE-2025-4296?
Versies van HotelRunner B2B van vóór 04.06.2025 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het updaten van de software naar de nieuwste versie verhelpt de kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan browsers omleiden naar onbetrouwbare sites, wat kan leiden tot phishing of andere aanvallen.
