VU#887923 : Le portail captif Kiwire contient 3 vulnérabilités web
Le portail captif Kiwire, une solution Wi-Fi invité de SynchroWeb, présente trois vulnérabilités critiques. Celles-ci incluent une injection SQL dans le paramètre nas-id, permettant le compromis de la base de données. Une vulnérabilité de redirection ouverte existe dans le paramètre login-url, permettant la redirection vers des sites malveillants. De plus, une vulnérabilité de script inter-sites (XSS) réfléchie est présente dans le paramètre login-url, autorisant l'exécution de JavaScript. La vulnérabilité d'injection SQL, CVE-2025-11188, permet aux attaquants d'exfiltrer des données sensibles de la base de données. La CVE-2025-11190, la redirection ouverte, peut attirer les utilisateurs vers des sites Web contrôlés par des attaquants. La CVE-2025-11189, la vulnérabilité XSS, permet l'exécution de JavaScript sur les appareils tentant de se connecter. Le fournisseur a corrigé les trois vulnérabilités. Il est fortement conseillé aux utilisateurs des versions affectées du portail captif Kiwire de mettre à jour vers la dernière version. Un avis de sécurité est disponible sur le site Web de SynchroWeb. SynchroWeb contactera également les utilisateurs concernés pour les aider à appliquer les correctifs.