Er is een kritieke kwetsbaarheid ontdekt in BossSoft CRM versie 6.0, aangeduid als CVE-2025-7801. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om via een SQL-injectie ongeautoriseerde toegang te krijgen tot de database.
Het betreft de functionaliteit van het bestand /crm/module/HNDCBas_customPrmSearchDtl.jsp, waarbij de manipulatie van het argument cstid kan leiden tot SQL-injectie. Deze kwetsbaarheid kan op afstand worden uitgevoerd en het exploit is publiekelijk beschikbaar.
Overzicht
Deze kwetsbaarheid maakt het mogelijk om gegevens te manipuleren en mogelijk toegang te krijgen tot gevoelige informatie. Met een CVSS-score van 7.3 is het ingedeeld als ‘High Severity’ volgens de CVSS v3.1.
Aanbevelingen
- Controleer het bestand
/crm/module/HNDCBas_customPrmSearchDtl.jspop manipulaties en beperk de inputvalidatie om SQL-injectie te voorkomen. - Houd updates vanuit BossSoft in de gaten en installeer een eventuele patch zodra deze beschikbaar is.
Bronnen
- VDB-316867 | BossSoft CRM HNDCBas_customPrmSearchDtl.jsp sql injection
- VDB-316867 | CTI Indicators
- Submit #616840 | BossSoft CRM V6.0 SQL Injection
- Github-issue exploit
Vraag en Antwoord
Wat is CVE-2025-7801?
CVE-2025-7801 is een kwetsbaarheid die SQL-injecties mogelijk maakt in BossSoft CRM versie 6.0, wat kan leiden tot ongeautoriseerde database toegang.
Welke systemen zijn kwetsbaar voor CVE-2025-7801?
Slechts BossSoft CRM versie 6.0 is bevestigd als kwetsbaar voor deze bedreiging, met name via het bestand /crm/module/HNDCBas_customPrmSearchDtl.jsp.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch beschikbaar. Het wordt aanbevolen om proactieve maatregelen te nemen zoals het verbeteren van inputvalidatie en toegang tot cruciale bestanden te beperken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang verkrijgen tot de database van het systeem en gevoelige informatie extraheren of manipuleren zonder detectie.
Waarschuwing: exploitcode is publiek beschikbaar, zorg voor snelle mitigatie.
