De toepassing Partner Software van Partner Software kent een ernstige kwetsbaarheid (CVE-2025-6076) die een geauthenticeerde aanvaller in staat stelt om schadelijke bestanden te uploaden via het ‘rapporten’ tabblad. Standaard draait de software als SYSTEM, wat de ernst van de kwetsbaarheid vergroot.
Overzicht
De kwetsbaarheid maakt gebruik van onbeperkte bestandsuploads zonder de nodige beveiligingscontroles. Dit betekent dat schadelijke code zonder restricties het systeem kan binnendringen, wat mogelijk tot een volledige compromittering kan leiden. Het specifieke probleem is geïdentificeerd als CWE-434: Onbeperkte upload van een bestand met een gevaarlijk type.
Geraakte systemen
De kwetsbaarheid heeft invloed op Partner Web versie 4.32. Versies voor 4.32.2 zijn specifiek kwetsbaar.
Aanbevelingen
- Werk uw Partner Web software bij naar versie 4.32.2 of hoger om de kwetsbaarheid op te lossen.
Partner Web versie 4.32.2
- Beperk toegangsrechten voor gebruikers die bestanden kunnen uploaden in het ‘rapporten’ tabblad.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6076?
Deze kwetsbaarheid betreft een onbeperkte upload van bestanden in de Partner Software producten, waardoor aanvallers gevaarlijke bestanden kunnen uploaden.
Welke systemen zijn kwetsbaar voor CVE-2025-6076?
Partner Web versie 4.32 en eerdere versies tot 4.32.2 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 4.32.2 is vrijgegeven en verhelpt deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke bestanden uploaden die op systeemniveau draaien, wat kan leiden tot controle over het hele systeem.
