Er is een kritieke kwetsbaarheid ontdekt in het PHPGurukul Online Fire Reporting System versie 1.2. Deze kwetsbaarheid, aangeduid met CVE-2025-7561, maakt het mogelijk om via een bekende zwakke plek in het bestand /admin/team-ontheway-requests.php SQL-injecties uit te voeren. Aanvallers kunnen hierdoor op afstand toegang krijgen tot het systeem zonder dat de gebruiker hiervoor handmatig actie hoeft te ondernemen.
Overzicht
De kwetsbaarheid betreft de manipulatie van de parameter teamid die leidt tot SQL-injectie, waardoor ongeoorloofde toegang tot de database kan worden verkregen. Dit kan ernstige gevolgen hebben zoals het uitlezen, wijzigen of zelfs verwijderen van data. De exploit is publiekelijk bekend en kan door kwaadwillenden worden gebruikt.
Technische details
- CWE-ID: CWE-89 (SQL Injection), CWE-74 (Injection)
- Vectorstring: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
- Kwetsbare versie: PHPGurukul Online Fire Reporting System 1.2
Bronnen
- VDB-316259 | PHPGurukul Online Fire Reporting System team-ontheway-requests.php sql injection
- VDB-316259 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #615034 | PHPGurukul Online Fire Reporting System 1.2 SQL Injection
- Github Issue Tracking
- PHPGurukul Website
Vraag en Antwoord
Wat is CVE-2025-7561?
Dit is een identificatiecode voor een specifieke beveiligingskwetsbaarheid in het Online Fire Reporting System van PHPGurukul, waarbij een SQL-injectie mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-7561?
Versie 1.2 van het PHPGurukul Online Fire Reporting System is kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er zijn momenteel geen details over een beschikbare patch of update. Controleer regelmatig de website van de leverancier voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan onrechtmatige toegang verkrijgen tot databases, gegevens uitlezen, wijzigen of verwijderen zonder toestemming van de eigenaar.
