„`html
Zusammenfassung
CVE-2025-13479 beschreibt eine kritische Autorisierungslücke in der QR Menu Software von PosCube Hardware Software and Consulting Ltd. Die Vulnerabilität ermöglicht es Angreifern, durch manipulierte benutzergesteuerte Schlüssel die Authentifizierungsmechanismen zu umgehen und als vertrauenswürdige Benutzer agieren zu können. Alle Versionen bis 21052026 sind betroffen.
Betroffene Systeme
Die Schwachstelle betrifft primär QR Menu Installationen, die von Restaurants, Cafés und anderen Gastronomiebetrieben eingesetzt werden. Das System wird typischerweise zur digitalen Speisekartenverwaltung und Bestellabwicklung genutzt. Besonders gefährdet sind Live-Produktionsumgebungen mit direkter Netzwerkanbindung.
Technische Details
Die Vulnerabilität liegt in der fehlerhaften Validierung von Authentifizierungsschlüsseln. Das System vertraut auf benutzergesteuerte Identifier, ohne diese ausreichend zu verifizieren. Ein Remote-Angreifer kann durch präparierte HTTP-Anfragen mit manipulierten Schlüsseln die Zugriffskontrolle umgehen und administrative Funktionen ausführen. Der Angriff erfordert lediglich Netzwerkkonnektivität zum betroffenen System und keine zusätzlichen Privilegien.
Empfohlene Massnahmen
Sofortmassnahmen: Implementieren Sie eine Web Application Firewall (WAF) zur Filterung verdächtiger Authentication-Header. Beschränken Sie den Zugriff auf die QR Menu Instanz mittels IP-Whitelisting auf vertrauenswürdige Netzwerke.
Monitoring: Überwachen Sie Zugriffslogs auf ungewöhnliche Authentifizierungsmuster und administrative Aktivitäten von unbekannten Quellen.
Kontakt zum Hersteller: Setzen Sie sich mit PosCube in Verbindung, da der Vendor bislang nicht auf Disclosure-Versuche reagiert hat. Ein Patch ist derzeit nicht verfügbar.
Bewertung
Mit einem CVSS-Score von 7.5 (High) und verfügbarem Network-Angriffsvektor besteht erhebliches Risiko. Die fehlende Vendor-Response verschärft die Situation. Sofortige Schutzmassnahmen sind dringend empfohlen.
„`