Beveiligingsupdate 0.23.2: CVE-2025-59344
AliasVault heeft een Server-Side Request Forgery (SSRF) kwetsbaarheid verholpen geïdentificeerd als CVE-2025-59344 (7.7 Hoog). Deze security advisory beschrijft de kwetsbaarheid, de impact ervan, en de onmiddellijke acties die vereist zijn voor alle AliasVault gebruikers.
🚨 Actie vereist: Alle gebruikers die AliasVault 0.23.0 of lager self-hosten worden geadviseerd om zo snel mogelijk te upgraden naar versie 0.23.2, die zowel de beveiligingsfix van 0.23.1 als extra bruikbaarheidsverbeteringen bevat. Eindgebruikers die alleen client apps gebruiken worden niet beïnvloed.
🔒 Security vulnerability details (CVE-2025-59344)
Impact en scope
Een Server-Side Request Forgery (SSRF) kwetsbaarheid werd ontdekt in de favicon extractie functie van AliasVault API versies 0.23.0 en lager. Deze kwetsbaarheid zou geauthenticeerde gebruikers in staat kunnen stellen om:
- Interne netwerken te verkennen: Favicon extractie verzoeken sturen naar loopback (127.0.0.0/8) en RFC1918/private netwerken vanuit het perspectief van de server
- Afbeelding content te extraheren: Favicons, PNG/JPEG bestanden in Base64 formaat ophalen van interne services als ze bestaan en toegankelijk zijn
- Beperkte verkenning uit te voeren: Interne services in kaart brengen door timing en foutmeldingen van favicon extractie pogingen
Let op: deze kwetsbaarheid heeft geen betrekking op AliasVault's versleutelde gebruikersgegevens of wachtwoorden, deze zijn dus op geen enkele wijze blootgesteld of gecompromitteerd.
Technische details
De favicon extractie functie haalt door gebruikers geleverde URLs op en parsed geretourneerde HTML om <link rel="icon" href="…"> referenties te volgen. Hoewel de initiële URL validatie alleen HTTP/HTTPS met standaard poorten toestaat, doet de extractor het volgende:
- Volgt automatisch redirects zonder juiste validatie
- Blokkeert geen verzoeken naar loopback of interne IP ranges
- Retourneert responses in Base64 formaat wanneer geldige afbeeldingen worden gevonden
Een geauthenticeerde, laag-privilege gebruiker kan dit gedrag exploiteren om de backend te dwingen HTTP(S) verzoeken te maken naar willekeurige interne hosts en niet-standaard poorten.
Getroffen omgevingen
Deze kwetsbaarheid beïnvloedt alleen self-hosted AliasVault instanties die bereikbaar zijn vanaf het publieke internet en public user registration ingeschakeld hebben. Interne deployments met public user registration uitgeschakeld zijn niet direct exploiteerbaar. Ook eindgebruikers die alleen client apps gebruiken (browser extensie of mobiele apps) worden niet beïnvloed.
🛡️ Beveiligingsfix en tijdlijn
Snelle response tijdlijn
De AliasVault maintainers reageerden snel op deze responsible disclosure en publiceerden een fix binnen 12 uur:
- 2025-09-16 00:10 UTC — Kwetsbaarheid gemeld aan AliasVault maintainers
- 2025-09-16 11:44 UTC — Fix geïmplementeerd en publiekelijk vrijgegeven in AliasVault 0.23.1
- 2025-09-19 10:30 UTC — Security advisory gepubliceerd (CVE-2025-59344)
De beveiligingspatch (v0.23.1 en v0.23.2)
Versie 0.23.1 werd vrijgegeven binnen 12 uur na de responsible disclosure. Deze update adresseert direct de SSRF kwetsbaarheid en introduceert uitgebreide beschermingen, zoals:
- Favicon extractie beperken tot publieke IP ranges
- Redirects naar loopback of interne adressen blokkeren
- Verzoek validatie en betrouwbaarheid van favicon verwerking verbeteren
Daarnaast is versie 0.23.2 nu ook beschikbaar en bevat extra verbeteringen aan de browser extensie, mobiele apps, alias generatie, en infrastructuur. We raden aan om direct te upgraden naar 0.23.2 om te profiteren van zowel de beveiligingspatch als de laatste verbeteringen.
🚨 Onmiddellijke acties vereist
Voor self-hosted gebruikers
Update onmiddellijk door de officiële update instructies te volgen:
- Update AliasVault geïnstalleerd via install script
- Update AliasVault geïnstalleerd via handmatige Docker Compose
Voor cloud gebruikers
De AliasVault cloud instantie is automatisch geüpdatet naar de laatste veilige versie. Geen actie vereist.
🛠️ Tijdelijke workarounds
Als je niet onmiddellijk kunt updaten, verminder blootstelling door publieke accountregistratie uit te schakelen:
./install.sh configure-registration
Of door handmatig .env bij te werken en de Docker containers te herstarten:
PUBLIC_REGISTRATION_ENABLED=false
Dit voorkomt dat onbevoegde gebruikers accounts kunnen aanmaken die de kwetsbaarheid zouden kunnen exploiteren.
📋 Blijf up-to-date
Star de GitHub repository op GitHub, abonneer je op de AliasVault RSS nieuws feed of join de AliasVault Discord om op de hoogte te blijven van nieuwe releases.
🔗 Referenties en bronnen
We brengen onze oprechte dank uit aan Filippo Decortes van Bitcube Security voor de responsible disclosure van deze kwetsbaarheid, de gedetailleerde technische analyse die snelle remediatie mogelijk maakte, en de professionele coördinatie gedurende het openbaarmakingsproces.
- Security advisory: CVE-2025-59344 (GHSA-f253-f7xc-w7pj)
- Update Documentatie: Officiële Update Gids
- Release Notes: GitHub Releases
- Beveiligingscontact: security@support.aliasvault.net
Bij AliasVault zijn beveiliging en transparantie de kern van wat we doen. Als je vragen hebt over deze update of onze security beleid, neem gerust contact op via security@support.aliasvault.net.
We bedanken de open source community voor hun waardevolle feedback en voortdurende ondersteuning!