DbGate heeft een kritiek beveiligingslek ontdekt, aangeduid als CVE-2025-50185. Dit probleem heeft betrekking op versie 6.6.0 en lager, waarbij ongeoorloofde toegang tot bestanden mogelijk is met behulp van de CSV-plugin. Door onvoldoende validatie van paden en bestandstypen kunnen gebruikers met applicatietoegang willekeurige bestanden inzien, zelfs als deze normaal alleen toegankelijk zijn voor de root-gebruiker.
Overzicht
De kwetsbaarheid valt onder CWE-29: Path Traversal. Hierdoor kan een aanvaller, zonder tussenkomst van de gebruiker, gevoelige informatie blootleggen. Met een impactscore van 7 op de CVSS-schaal wordt dit beveiligingslek als hoog geclassificeerd.
Aanbevelingen
Op dit moment is er geen patch of update beschikbaar voor deze kwetsbaarheid. Het is van cruciaal belang dat beheerders waakzaam blijven en de toegang tot gevoelige systemen beperken tot strikt noodzakelijke gevallen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50185?
CVE-2025-50185 betreft een kwetsbaarheid die het mogelijk maakt voor een aanvaller om ongeautoriseerde toegang te verkrijgen tot bestanden op systemen die DbGate gebruiken, versie 6.6.0 en lager. Het is specifiek gericht op de CSV-plugin.
Welke systemen zijn kwetsbaar voor CVE-2025-50185?
Alle systemen die DbGate versie 6.6.0 of ouder gebruiken, zijn kwetsbaar voor deze path traversal-aanval.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen patch of update beschikbaar die deze kwetsbaarheid adresseert. Het is aan te raden het gebruik van kwetsbare versies te beperken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door deze kwetsbaarheid data van gevoelige bestanden op het systeem uitlezen, ongeacht hun locatie of bestandstype.
