Er is een kritiek beveiligingsprobleem ontdekt in het open-source discussieplatform Discourse, aangeduid als CVE-2025-53102. Gebruikers van versies voor 3.4.7 en bepaalde bèta-versies lopen verhoogd risico doordat een WebAuthn-uitdaging in de gebruikerssessie achterblijft na authenticatie. Dit kan leiden tot hergebruik van de uitdaging, wat de kans op een potentiële inbreuk vergroot.
Een aanvaller kan mogelijk de sessie-uitdaging hergebruiken, wat ernstige inbreuken tot gevolg kan hebben zonder dat u het merkt.
Overzicht
Discourse genereert een WebAuthn-uitdaging wanneer er een fysieke beveiligingssleutel wordt verstrekt voor tweefactorauthenticatie. Deze uitdaging wordt echter niet gewist uit de sessie van de gebruiker nadat de authenticatie is voltooid, waardoor de mogelijkheid tot hergebruik bestaat en het beveiligingsrisico toeneemt.
Beïnvloede versies: >= 3.5.0.beta1, < 3.5.0.beta.8 of < 3.4.7
Impactanalyse
- Vertrouwelijkheid: Hoog
- Integriteit: Geen impact
- Beschikbaarheid: Geen impact
Aanbevelingen
- Update naar de nieuwste stabiele versie 3.4.7 of bèta versie 3.5.0.beta.8 om het probleem te verhelpen.
- Controleer de sessiebeheermechanismen binnen uw Discourse-installatie.
Vraag en Antwoord
Wat is CVE-2025-53102?
Het betreft een beveiligingslek in Discourse waarbij sessie-uitdagingen niet goed worden gewist na authenticatie.
Welke systemen zijn kwetsbaar voor CVE-2025-53102?
Discourse versies vanaf 3.5.0.beta1 tot en met 3.5.0.beta.8 en alle versies onder 3.4.7 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de updates zijn beschikbaar in versie 3.4.7 en 3.5.0.beta.8.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een sessie-uitdaging hergebruiken, mogelijk leidend tot onbevoegde toegang.
Bronnen
Controleer uw systemen vandaag nog om beveiligingsrisico’s te minimaliseren.
