Er is een kritieke kwetsbaarheid ontdekt in de code-projects Voting System versie 1.0, geregistreerd onder CVE-2025-7558. Deze kwetsbaarheid, met als basis CWE-89 en CWE-74, stelt een aanvaller in staat om via SQL-injectie toegang te krijgen tot de databasefunctionaliteit van de toepassing. Dit probleem bevindt zich specifiek in het bestand /admin/positions_add.php.
Het manipuleren van het argument description kan leiden tot een succesvolle exploit, wat met minimale toegangseisen op afstand kan worden uitgevoerd. Let op: deze exploit is publiek bekend en aanvallers kunnen hier zonder melding gebruik van maken.
Overzicht
De CVE-2025-7558 is gerapporteerd als een kwetsbaarheid voor SQL-injectie. De kwetsbaarheid heeft een CVSS v3.1 score van 6.3 (medium) en kan leiden tot gedeeltelijke blootstelling van vertrouwelijke informatie, integriteitsschending en beschikbaarheidsproblemen.
Aanbevelingen
- Controleer of u de versie 1.0 van het code-projects Voting System gebruikt en overweeg een update of mitigatie.
- Gebruik een web application firewall (WAF) om schadelijke verzoeken tegen te houden.
- Overweeg het valideren en ontsmetten van alle gebruikersinvoer in de scripts.
