In software voor het beheren van elektronische sloten is een kritieke kwetsbaarheid gevonden waardoor een aanvaller de installatie en geassocieerde sloten kan compromitteren. De fabrikant heeft updates uitgebracht om het probleem te verhelpen. Dat laat het Dutch Institute for Vulnerability Disclosure (DIVD) vandaag weten. De kritieke kwetsbaarheid en een lager ingeschaald beveiligingslek werden op 22 oktober aan het DIVD gemeld.

De problemen (CVE-2025-22374 en CVE-2025-22375) zijn aanwezig in CyberAudit-Web van leverancier Videx. Dit is software waarmee elektronische CyberLock-sloten zijn te beheren. Via de beveiligingslekken zou een aanvaller installaties van CyberAudit-Web en bijbehorende sloten kunnen compromitteren. De kritieke kwetsbaarheid (CVE-2025-22375) betreft een 'authentication bypass', waardoor een aanvaller zonder inloggegevens toch een geldige sessie met het systeem kan opzetten. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

De andere kwetsbaarheid, Server-Side Request Forgery (SSRF) in de videx-legacy-ssl webservice, heeft een impactscore van 6. Videx heeft beveiligingsupdates beschikbaar gemaakt voor klanten met en zonder onderhoudscontract. Het DIVD roept gebruikers op om de de beschikbaar gestelde patches zo snel mogelijk te installeren.