Onjuiste toegangscontrole in de component \controller\RoleController.java van jshERP v3.5 maakt het mogelijk dat ongeautoriseerde aanvallers de leverancierstatus willekeurig onder elk account kunnen wijzigen. Dit beveiligingslek, aangeduid als CVE-2025-55368, vormt een aanzienlijk risico voor systemen die deze versie gebruiken.
Het betreft een ernstige kwetsbaarheid met een CVSS-score van 8.8, die netwerktoegang vereist maar geen privileges vooraf. Dit betekent dat een aanvaller zonder veel moeite aanzienlijke schade kan aanrichten, zoals het volledig compromitteren van integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens.
Overzicht
Versie: 3.5
De kwetsbaarheid komt voort uit onjuiste toegangscontrole binnen het bestand RoleController.java. Hierdoor kunnen aanvallers de status van leveranciers aanpassen zonder toestemming, met gevolgen voor de bedrijfsbeheerprocessen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55368?
Een ernstige kwetsbaarheid in jshERP v3.5 die aanvallers in staat stelt om ongeautoriseerd leverancierstatussen te wijzigen via de RoleController.java.
Welke systemen zijn kwetsbaar voor CVE-2025-55368?
Elke implementatie van jshERP versie 3.5 is kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen informatie beschikbaar over een officiële patch. Controleer regelmatig de leverancierswebsite voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de leveranciersstatus in het systeem aanpassen zonder toestemming, waardoor bedrijfskritieke processen kunnen worden aangetast.
