Een kritieke kwetsbaarheid is ontdekt in Campcodes Sales and Inventory System versie 1.0, aangeduid als CVE-2025-7470. Het probleem bevindt zich in het bestand /pages/product_add.php waar de onbeperkte upload van bestanden mogelijk wordt gemaakt door het manipuleren van het argument image. Dit kan op afstand worden misbruikt.
Door deze kwetsbaarheid kan een aanvaller potentieel schadelijke bestanden uploaden zonder beperkingen, wat het systeem verder blootstelt aan gevaren. De exploit is inmiddels openbaar beschikbaar en kan worden gebruikt voor aanvallen.
Overzicht
De kwetsbaarheid is geclassificeerd als kritiek en betreft een onvoldoende beveiligde toegang en onbeperkte upload (CWE-434 en CWE-284). De gevoeligheid is aanwezig in alle systemen met Campcodes versie 1.0.
Aanbevelingen
- Controleer of er een update of patch beschikbaar is en implementeer deze onmiddellijk indien mogelijk.
- Beperk toegangsrechten voor de bestand upload functionaliteit om manipulatie te voorkomen.
- Overweeg het tijdelijke blokkeren van het
product_add.phpscript totdat een permanente oplossing beschikbaar is.
Bronnen
- VDB-316122 | Campcodes Sales and Inventory System unrestricted upload
- Github Exploit Issue
- Campcodes Officiële Website
Vraag en Antwoord
Wat is CVE-2025-7470?
Dit is een kritiek beveiligingslek in Campcodes Sales and Inventory System dat betrekking heeft op onbeperkte bestand upload mogelijkheden.
Welke systemen zijn kwetsbaar voor CVE-2025-7470?
Systemen die draaien op Campcodes Sales and Inventory System versie 1.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is het aanbevolen om het systeem aan te passen zoals de aanbevelingen aangeven totdat een officiële patch is uitgebracht.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel schadelijke bestanden uploaden en uitvoeren, resulterend in ongeoorloofde toegang tot gevoelige delen van het systeem.
