SolidInvoice kwetsbaarheid ontdekt: CVE-2025-9167
Geplaatst inBeveiligingsmeldingen

SolidInvoice kwetsbaarheid ontdekt: CVE-2025-9167

Er is een kwetsbaarheid ontdekt in SolidInvoice tot versie 2.4.0. Deze kwetsbaarheid treft de module voor terugkerende facturen en maakt cross site scripting mogelijk via manipulatie van client namen. Hoewel de CVE-2025-9167 als middelmatige dreiging wordt geclassificeerd, kan een aanvaller op afstand deze storing misbruiken zonder fysieke toegang tot uw systemen.

Overzicht

De kwetsbaarheid werd gevonden in de /invoice/recurring component van SolidInvoice. Het probleem ontstaat door de manipulatie van het argument client name wat leidt tot cross site scripting. Hoewel de exploit openbaar is gemaakt en gebruikt kan worden, is er geen reactie van de leverancier geweest op deze melding.

Aanbevelingen

  • Beperk gebruik en toegang tot het getroffen SolidInvoice onderdeel.
  • Upgrade naar een toekomstige gepatchte versie zodra deze beschikbaar is.
  • Controleer het netwerk op verdachte activiteiten die kunnen wijzen op een exploit van deze kwetsbaarheid.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-9167?

CVE-2025-9167 beschrijft een cross site scripting kwetsbaarheid in de terugkerende factuurmodule van SolidInvoice die tot versie 2.4.0 reikt. Het stelt aanvallers in staat om op afstand scripts uit te voeren via manipulatie van client name.

Welke systemen zijn kwetsbaar voor CVE-2025-9167?

De systemen die kwetsbaar zijn, runnen SolidInvoice versies 2.0 tot 2.4.0, vooral indien de terugkerende factuurmodule is ingeschakeld.

Bestaat er al een patch of beveiligingsupdate?

Op het moment van schrijven is er nog geen patch of update beschikbaar. Houd de communiqués van de leverancier in de gaten voor toekomstige updates.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan scripts uitvoeren in de browsers van andere gebruikers, waardoor gegevens zoals sessie-ID’s en cookies kunnen worden gestolen.

Tags: