EspoCRM, een populaire webapplicatie, kampt met een kwetsbaarheid die kan leiden tot ontoegankelijkheid van de dienst. Gebruikers die EspoCRM laden met dubbele schuine strepen in de URL veroorzaken een corrupt router cache, zoals bijvoorbeeld https://domein//#Admin, wat de applicatie onbruikbaar maakt. Deze kwetsbaarheid is geïdentificeerd als CVE-2025-52892.
Overzicht
De kwetsbaarheid treedt op in EspoCRM versies 9.1.6 en lager. Het probleem ontstaat wanneer de webserver de dubbele schuine streep in de URL niet correct afhandelt, met als resultaat een beschadigde Slim router cache. Dit is inmiddels verholpen in versie 9.1.7.
Aanbevelingen
- Upgrade EspoCRM naar versie 9.1.7 of hoger om deze kwetsbaarheid te verhelpen.
- Controleren of uw webserver juist is geconfigureerd om dubbele schuine strepen in URL’s te strippen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-52892?
Dit is een publiceerde kwetsbaarheid die een aanval op EspoCRM toestaat door eenvoudigweg dubbele schuine strepen in een URL te gebruiken.
Welke systemen zijn kwetsbaar voor CVE-2025-52892?
Alle EspoCRM-installaties versie 9.1.6 en lager zijn kwetsbaar, mits de webserver de dubbele schuine strepen niet correct afhandelt.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versies 9.1.7 en hoger van EspoCRM.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de router cache van EspoCRM beschadigen, waardoor de service onbruikbaar wordt totdat deze is herbouwd.
