Er is een ernstige template-injectiekwetsbaarheid ontdekt in Sawtooth Software’s Lighthouse Studio, met versies die ouder zijn dan 9.16.14. Deze kwetsbaarheid, bekend als CVE-2025-34300, stelt een ongeauthenticeerde aanvaller in staat om willekeurige commando’s uit te voeren. Met een CVSS-score van 10.0 is het essentieel om deze kwetsbaarheid serieus te nemen en direct actie te ondernemen.
Overzicht
De kwetsbaarheid bevindt zich in de ciwweb.pl Perl-webapplicatie en kan op afstand worden misbruikt zonder dat hier hoge privileges voor nodig zijn. Dit betekent dat kwaadwillenden in staat zijn vanuit een netwerk verbinding te maken en schadelijke opdrachten uit te voeren zonder dat er interactie met de gebruiker vereist is.
Aanbevelingen
- Update onmiddellijk naar Lighthouse Studio versie 9.16.14 of nieuwer. De update kan hier worden gedownload.
- Controleer uw systemen vandaag nog en zorg ervoor dat alle kwetsbare versies zijn geüpdatet.
Let op: Deze kwetsbaarheid kan worden uitgebuit door een publieke exploit, waardoor het extra urgent is om snel actie te ondernemen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-34300?
CVE-2025-34300 is een kwetsbaarheid in Lighthouse Studio die het mogelijk maakt om zonder authenticatie willekeurige commando’s uit te voeren.
Welke systemen zijn kwetsbaar voor CVE-2025-34300?
Systemen die versies van Lighthouse Studio draaien die ouder zijn dan 9.16.14, met de module ciwweb.pl, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, een update naar versie 9.16.14 of hoger is beschikbaar en kan worden gedownload via de officiële Sawtooth-website.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeauthenticeerd via het netwerk toegang krijgen tot het systeem en daarmee willekeurige code uitvoeren, wat ernstige gevolgen kan hebben voor de gegevensintegriteit en vertrouwelijkheid.
