WebITR, ontwikkeld door Uniong, bevat een kritieke SQL-injectie kwetsbaarheid (CVE-2025-9255). Een ongeauthenticeerde, externe aanvaller kan willekeurige SQL-commando’s injecteren, waardoor gevoelige database-informatie toegankelijk kan worden gemaakt. Dit probleem heeft een hoge impact met een CVSS-score van 8.7, onderstreept het risico voor netwerken.
Overzicht
WebITR is kwetsbaar voor SQL-injectie, bekend onder CWE-89. Deze kwetsbaarheid stelt een aanvaller in staat om via het netwerk, zonder enige vorm van authenticatie of gebruikersinteractie, de databewaarbaarheid en vertrouwelijkheid te compromitteren.
Aanbevelingen
- Controleer of uw versie van WebITR minder dan of gelijk aan
2_1_0_32is, aangezien deze versies getroffen zijn. - Werk zo snel mogelijk bij naar een gepatchte versie of neem contact op met de leverancier voor meer informatie over beschikbare updates.
- Overweeg het implementeren van web application firewalls (WAF) die een extra beveiligingslaag kunnen bieden.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9255?
Dit is een identificatie voor een specifieke kwetsbaarheid in de WebITR-software die SQL-injectie mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-9255?
Systemen die draaien op WebITR versie <= 2_1_0_32 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Zie de bronnen voor meer informatie over eventuele beschikbare patches of updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot de database-inhoud, mogelijk gevoelige informatie blootleggen, zonder dat er enige authenticatie vereist is.
