VU#887923: Kiwire Captive Portal には 3 つの Web 脆弱性が含まれています
SynchroWebのゲストWi-FiソリューションであるKiwire Captive Portalには、3つの重大な脆弱性がある。これらには、データベースの妥協を可能にするnas-idパラメーターのSQLインジェクション、悪意のあるサイトへのリダイレクトを可能にするlogin-urlパラメーターのオープンリダイレクションの脆弱性、およびJavaScriptの実行を許可するlogin-urlパラメーターのリフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が含まれる。SQLインジェクションの脆弱性CVE-2025-11188により、攻撃者はデータベースから機密データを抽出できる。オープンリダイレクションのCVE-2025-11190は、ユーザーを攻撃者が制御するウェブサイトに誘導できる。XSSの脆弱性CVE-2025-11189により、ログインを試みるデバイスでJavaScriptを実行できる。ベンダーは3つの脆弱性すべてに対処している。影響を受けるKiwire Captive Portalのバージョンを使用しているユーザーは、最新バージョンに更新することを強く推奨される。SynchroWebのウェブサイトにセキュリティアドバイザリが利用可能である。また、SynchroWebは、パッチ適用を支援するために、影響を受けるユーザーに連絡する。