Onlangs is er een ernstige kwetsbaarheid ontdekt in Advantech iView, aangeduid als CVE-2025-52577. Deze kwetsbaarheid maakt SQL-injectie en remote code execution mogelijk, waardoor een aanvaller met beperkte toegang potentieel schadelijke activiteiten uit kan voeren. Dit probleem vereist dat de aanvaller ten minste gebruikersniveau inloggegevens heeft.
De SQL-injectie kwetsbaarheid ontstaat doordat niet alle invoerparameters correct worden gesaneerd, met als gevolg dat kwaadwillenden mogelijk code kunnen uitvoeren onder de context van het ‘nt authority\local service’ account.
Overzicht
- Product: Advantech iView
- Versie: Alle versies lager dan 5.7.05 build 7057
- Kwetsbaarheidstype: SQL Injectie (CWE-89)
- Impact: SQL Injectie, Remote Code Execution
- Score: CVSS v3.1 Base Score 8.8 (Hoog)
Aanbevelingen
Advantech beveelt aan om te updaten naar versie 5.7.05 build 7057 om deze kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-52577?
Het is een geïdentificeerde kwetsbaarheid binnen Advantech iView, die SQL-injectie en remote code execution mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-52577?
Systemen met Advantech iView versies ouder dan 5.7.05 build 7057 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt sterk aanbevolen om te updaten naar versie 5.7.05 build 7057.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel schadelijk code uitvoeren en gevoelige data compromitteren door middel van SQL-injectie.
