Er is een kritieke kwetsbaarheid ontdekt in JoeyBling’s SpringBoot_MyBatisPlus, versies tot a6a825513bd688f717dbae3a196bc9c9622fea26. Deze kwetsbaarheid, aangeduid als CVE-2025-7488, maakt het mogelijk voor een externe aanvaller om via padtraversal toegang te krijgen tot bestanden.
Door een slechte hantering van het argument Name in de functie Download binnen het bestand /file/download, kan een aanvaller kwetsbare paden exploiteren. Dit vormt een aanzienlijk risico, met name omdat de exploit openbaar beschikbaar is gesteld en gebruikt kan worden door kwaadwillenden.
Overzicht
De path traversal kwetsbaarheid (CWE-22) treft specifieke versies van het product, en kan op afstand worden uitgevoerd zonder gebruikersinteractie. De kwetsbaarheid heeft een CVSS-score van 5.3 (medium), wat wijst op een significante impact.
Bronnen
- VDB-316138 | JoeyBling SpringBoot_MyBatisPlus download path traversal
- VDB-316138 | CTI Indicators (IOB, IOC, TTP, IOA)
- Issue op GitHub
Vraag en Antwoord
Wat is CVE-2025-7488?
Dit is een kritieke path traversal kwetsbaarheid die op afstand misbruikt kan worden in de JoeyBling SpringBoot_MyBatisPlus applicatie.
Welke systemen zijn kwetsbaar voor CVE-2025-7488?
Systemen die de JoeyBling SpringBoot_MyBatisPlus versie tot a6a825513bd688f717dbae3a196bc9c9622fea26 gebruiken, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het product werkt met rolling releases, waardoor specifieke bijgewerkte versies niet vermeld zijn. Het is belangrijk om de GitHub repository in de gaten te houden voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid mogelijk gevoelige bestanden uitlezen of wijzigen, wat een aanzienlijke inbreuk op de privacy en integriteit van gegevens kan betekenen.
