Een kritiek beveiligingslek in jshERP versie 3.5, aangeduid als CVE-2025-55366, maakt het mogelijk voor aanvallers om willekeurig wachtwoorden van gebruikersaccounts opnieuw in te stellen en een horizontale privilege-escalatieaanval uit te voeren. Dit betekent dat een aanvaller de controle over meerdere accounts kan verkrijgen zonder dat de gebruiker hiervan op de hoogte is.
Overzicht
In de component \controller\UserController.java van jshERP v3.5 is onjuiste toegangsbewaking geïdentificeerd, wat ernstige gevolgen heeft voor de veiligheid van gebruikersinformatie en interne systeemprocessen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55366?
Het betreft een kwetsbaarheid in de gebruikersauthenticatie van jshERP v3.5, waardoor wachtwoordreset en ongeautoriseerde toegang mogelijk worden.
Welke systemen zijn kwetsbaar voor CVE-2025-55366?
Alle systemen die gebruikmaken van jshERP versie 3.5 zijn vatbaar voor deze exploit.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen officiële patch vrijgegeven. Het wordt aangeraden de jshERP-website en hun GitHub-pagina in de gaten te houden voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot verschillende gebruikersaccounts door wachtwoorden zonder toestemming te resetten, wat leidt tot potentiële datadiefstal of verstoring van bedrijfsactiviteiten.
Het is essentieel om de beveiligingsinstellingen van uw systeem te evalueren en zo spoedig mogelijk te reageren door acties te ondernemen ter bescherming van uw gebruikers en data.
