VU#887923: Kiwire Captive Portal enthält 3 Web-Schwachstellen
Das Kiwire Captive Portal, eine Gast-WLAN-Lösung von SynchroWeb, weist drei kritische Schwachstellen auf. Dazu gehören SQL-Injection im nas-id-Parameter, die eine Kompromittierung der Datenbank ermöglicht. Eine Open-Redirect-Schwachstelle besteht im login-url-Parameter, die eine Weiterleitung auf bösartige Websites ermöglicht. Zusätzlich ist eine Reflected Cross-Site Scripting (XSS)-Schwachstelle im login-url-Parameter vorhanden, die die Ausführung von JavaScript erlaubt. Die SQL-Injection-Schwachstelle, CVE-2025-11188, ermöglicht es Angreifern, sensible Daten aus der Datenbank zu exfiltrieren. CVE-2025-11190, die Open-Redirect-Schwachstelle, kann Benutzer auf von Angreifern kontrollierte Websites locken. CVE-2025-11189, die XSS-Schwachstelle, ermöglicht die Ausführung von JavaScript auf Geräten, die versuchen, sich anzumelden. Der Anbieter hat alle drei Schwachstellen behoben. Benutzern betroffener Kiwire Captive Portal-Versionen wird dringend empfohlen, auf die neueste Version zu aktualisieren. Ein Sicherheitsratgeber ist auf der SynchroWeb-Website verfügbar. SynchroWeb wird sich auch mit betroffenen Benutzern in Verbindung setzen, um bei der Behebung zu helfen.