Impatto Sistemico

Critico (78.71)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-59934, che riguarda Formbricks, piattaforma open-source per sondaggi e gestione dell’esperienza utente. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di bypassare i normali meccanismi di autenticazione sui sistemi interessati.

Tipologia

Authentication Bypass

Descrizione e potenziali impatti

La vulnerabilità – di tipo “Authentication Bypass“ e identificata tramite la CVE-2025-59934, con score CVSS v3 9.4 – impatta le versioni precedenti alla 4.0.1 di Formbricks, e potrebbe consentire di bypassare i normali meccanismi di autenticazione sui sistemi target.

Nel dettaglio, la vulnerabilità è causata da una convalida errata dei JSON Web Token (JWT). Il codice decodifica erroneamente il payload del JWT con jwt.decode() ma non né verifica la firma; né controlla scadenza, issuer o audience, quindi il server accetta token firmati in modo improprio o privi di firma.

Un utente malintenzionato che conosca o indovini l’user.id di una vittima può, utilizzando un JWT opportunamente predisposto, autenticarsi come quest’ultimo o forzarne il reset della password, per prendere potenzialmente il controllo completo dell’account.

Prodotti e versioni affette

Formbricks, versioni precedenti alla 4.0.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.