Een kritiek beveiligingslek, aangeduid als CVE-2025-36846, is ontdekt in Eveo URVE Web Manager, versie 27.02.2025. Deze kwetsbaarheid stelt ongeauthenticeerde gebruikers in staat om via de /_internal/pc/vpro.php localhost endpoint ongeoorloofde OS Command Injecties uit te voeren door gebruik te maken van een niet goed geneutraliseerde inputparameter die direct in de shell_exec() functie van PHP wordt ingevoerd.
Overzicht
Het probleem betreft een ongeoorloofde blootstelling van besturingssysteemcommandos aan externe actoren, gecategoriseerd als CWE-78: Onjuiste neutralisatie van speciale elementen gebruikt in OS-opdrachten (OS Command Injection). Door de lage aanvalscomplexiteit en de hoge impact op beschikbaarheid, vertrouwelijkheid en integriteit, heeft het een CVSS-score van 9.8, wat duidt op een kritieke bedreiging.
Aanbevelingen
- Controleer of uw installaties van Eveo URVE Web Manager deze kwetsbaarheid bevatten en overweeg de toegang tot het kwetsbare endpoint tijdelijk te beperken.
- Volg de officiële adviezen en patches van de leverancier indien beschikbaar.
- Houd updates van beveiligingsadviezen in de gaten om snel te reageren op nieuwe informatie of tool releases.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-36846?
Het is een kritisch beveiligingslek dat ongeauthenticeerde gebruikers toestaat om via een specifieke endpoint command injecties uit te voeren op systemen die Eveo URVE Web Manager draaien.
Welke systemen zijn kwetsbaar voor CVE-2025-36846?
Systemen die draaien op Eveo URVE Web Manager versie 27.02.2025.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen specifieke patch gemeld in dit advies. Het wordt aangeraden om contact op te nemen met de leverancier voor de laatste updates en oplossingen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige opdrachten uitvoeren op het besturingssysteem, waardoor volledige controle over het systeem mogelijk is zonder enige vorm van authenticatie.
