Een nieuw beveiligingslek, aangeduid als CVE-2025-9240, is gevonden in elunez eladmin, versie 2.0 tot 2.7. Het probleem resulteert in onbedoelde informatieonthulling via de kwetsbaarheid in de /auth/info endpoint, die op afstand kan worden misbruikt. Het exploit is publiekelijk beschikbaar, wat betekent dat kwaadwillenden deze kwetsbaarheid kunnen uitbuiten.
Overzicht
De kwetsbaarheid is gecategoriseerd als een ‘Information Disclosure’ en ‘Improper Access Controls’ volgens de CWE-catalogus. Met een CVSS-score van 5.3 is het risico beoordeeld als middelmatig, wat betekent dat er aanzienlijke risico’s zijn voor de systemen die deze software draaien.
Aanbevelingen
- Volg het issue op de officiële GitHub-pagina van eladmin voor updates over patches.
- Overweeg om de toegang tot kwetsbare endpoints aan te passen totdat er een patch beschikbaar is.
Bronnen
- VDB-320773 | elunez eladmin info informatielek
- Submit #631424 | elunez eladmin <=2.7 Gevoelige Informatie Onthulling
Vraag en Antwoord
Wat is CVE-2025-9240?
Dit CVE identificeert de kwetsbaarheid van informatieonthulling in elunez eladmin, waar gevoelige gegevens kunnen uitlekken.
Welke systemen zijn kwetsbaar voor CVE-2025-9240?
Alle versies van elunez eladmin van 2.0 tot 2.7 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er geen officiële patches vrijgegeven. Houd de GitHub-issuepagina in de gaten voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan vertrouwelijke informatie verkrijgen die is opgeslagen in het systeem, wat kan leiden tot verdere beveiligingsproblemen.
