Een kritieke beveiligingslek, CVE-2025-50567, is ontdekt in Saurus CMS Community Edition 4.7.1 die SQL-injectie en willekeurige code-uitvoering mogelijk maakt. Het lek bevindt zich in de DB::prepare() functie vanwege het gebruik van de verouderde preg_replace() met de /e modificator.
Dit probleem laat onbevoegden toe om via het netwerk willekeurige PHP-code uit te voeren, zonder dat er gebruik gemaakt moet worden van speciale toegangsrechten of gebruikersinteractie. Deze kwetsbaarheid vormt een ernstige bedreiging met een CVSS-score van 10.
Overzicht
De functionaliteit in kwestie maakt gebruik van een kwetsbare benadering voor het verwerken van SQL-query’s, resulterend in mogelijkheden voor code-injectie. Aanvallers kunnen hiermee volledige controle krijgen over het getroffen systeem.
Aanbevelingen
- Beheer deze kwetsbaarheid onmiddellijk door te updaten naar de nieuwste versies zodra deze beschikbaar zijn.
- Controleer op ongebruikelijke activiteit in uw systemen die kunnen duiden op exploitatie van deze kwetsbaarheid.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50567?
CVE-2025-50567 is een ernstige kwetsbaarheid in de Saurus CMS Community Edition die misbruik van SQL-injectie en code-injectie mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-50567?
Alle systemen die gebruikmaken van Saurus CMS Community Edition versie 4.7.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Voorlopig is er geen officiële patch uitgebracht; gebruikers moeten alternatieve maatregelen overwegen totdat een update beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid volledige controle over het getroffen systeem verkrijgen, inclusief het uitvoeren van willekeurige code op afstand.
