Er is een nieuw beveiligingslek ontdekt in OpenAI’s Operator SaaS-systeem. CVE-2025-7021 stelt een externe aanvaller in staat om gevoelige gebruikersinformatie, zoals inloggegevens en e-mailadressen, te achterhalen. Dit wordt gedaan door een misleidende volledig-scherm interface te tonen met overgedrukte nep browser controls en een afleidend element zoals een cookie-consentscherm.
De kwetsbaarheid is aanzienlijk vanwege de manier waarop het de Fullscreen API en de UI-weergave misbruikt om gebruikers in de maling te nemen. Risico’s omvatten het ontdekken van vertrouwelijke gegevens zonder dat de gebruiker zich hiervan bewust is.
Overzicht
De kwetsbaarheid maakt gebruik van de Fullscreen API Spoofing en UI Redressing. Dit probleem kan op afstand door een aanvaller worden geëxploiteerd via netwerktoegang, met een redelijke complexiteit, en vereist weinig privileges.
Aanbevelingen
- Wees waakzaam voor vreemde browseractiviteit en interageer niet met verdachte volledige-scherm verzoeken zonder de hele website te verifiëren.
- Controleer regelmatig voor software-updates en patches die door de leverancier worden aangeboden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7021?
Het betreft een kwetsbaarheid in de API-weergave van de OpenAI Operator SaaS die gegevensdiefstal via een onzichtbare interface mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-7021?
Het gaat specifiek om systemen die OpenAI Operator SaaS gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Het is aangeraden om de officiële communicatie van OpenAI te volgen voor eventuele patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller is in staat om op een misleidende manier gebruikersgegevens te verzamelen door een fake interface te gebruiken binnen het systeem.
