Er is een kritieke kwetsbaarheid gevonden in versie 1.13 van het PHPGurukul Vehicle Parking Management System. Door misbruik van de searchdata parameter in het bestand /admin/search-vehicle.php kan een aanvaller via een SQL-injectie toegang krijgen tot gevoelige gegevens. Deze aanval kan op afstand worden uitgevoerd en de exploit is publiekelijk bekend.
Overzicht
SQL-injectie (CWE-89) is een veelvoorkomend en gevaarlijk probleem waarbij kwaadwillenden kwaadaardige SQL-code kunnen invoeren in invoervelden. Dit kan leiden tot ongeoorloofde wijzigingen in en toegang tot de database.
Aanbevelingen
- Controleer of u versie 1.13 van het PHPGurukul Vehicle Parking Management System gebruikt, en overweeg een update of patch van de leverancier.
- Pas inputvalidatie en parameterbinding toe om SQL-injecties te voorkomen.
- Vermijd het direct uitvoeren van SQL-query’s op basis van gebruikersinvoer zonder enige validatie.
Bronnen
- VDB-316139 | PHPGurukul Vehicle Parking Management System search-vehicle.php sql injection
- VDB-316139 | CTI Indicators
- Submit #610573 | PHPGurukul SQL Injection
- Exploit details op GitHub
- PHPGurukul
Vraag en Antwoord
Wat is CVE-2025-7489?
Dit is een kwetsbaarheid in het PHPGurukul Vehicle Parking Management System die leidt tot een SQL-injectie via /admin/search-vehicle.php.
Welke systemen zijn kwetsbaar voor CVE-2025-7489?
Versie 1.13 van PHPGurukul Vehicle Parking Management System is direct kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch of update bekend. Het is aanbevolen contact op te nemen met de leverancier PHPGurukul voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via SQL-injectie gevoelige gegevens uit de database lezen of wijzigen, en zelfs het systeem compromitteren door kwaadwillende SQL-commando’s uit te voeren.
Controleer uw systemen vandaag nog en implementeer de aanbevolen beveiligingsmaatregelen.
