Een opgeslagen XSS-kwetsbaarheid (CVE-2025-57768) is ontdekt in phproject, voor versies van 1.8.0 tot 1.8.3. Dit projectbeheer systeem laat via het Planned Hours veld gevaarlijke scripts toe, wat een groot beveiligingsrisico met zich meebrengt. Aanvallers kunnen via het netwerk zonder interactie of voorrechten schadelijke code injecteren.
Overzicht
In de betrokken phproject versies wordt input in het Planned Hours veld bij issuecreatie niet correct gesaneerd. Bij het zenden van een POST-verzoek naar /issues/new/ neemt de server deze input op zonder HTML-encodering, waardoor een script zoals <script>alert(1)</script> direct in de HTML wordt gereflecteerd, wat uitvoering door de browser mogelijk maakt.
Aanbevelingen
- Update zo snel mogelijk naar versie 1.8.3 waarin deze kwetsbaarheid verholpen is.
- Controleer uw systeemlogboeken op verdachte activiteiten die zouden kunnen wijzen op exploitatie van deze kwetsbaarheid.
Bronnen
Lees meer over de kwetsbaarheid en de beveiligingsmaatregelen op de GitHub beveiligingsadviseur pagina.
Vraag en Antwoord
1. Wat is CVE-2025-57768?
Dit is een opgeslagen XSS-kwetsbaarheid die voorkomt in de Planned Hours velden van phproject via de SQLite-database.
2. Welke systemen zijn kwetsbaar voor CVE-2025-57768?
Phproject versies 1.8.0 tot 1.8.2 zijn kwetsbaar. Versie 1.8.3 verhelpt deze kwetsbaarheid.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is opgelost in versie 1.8.3 van phproject.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via de kwetsbaarheid kwaadaardige scripts uitvoeren in de browser van een gebruiker, met mogelijke gevolgen voor de integriteit en vertrouwelijkheid.
