Een nieuwe kwetsbaarheid, aangeduid als CVE-2025-7941, is ontdekt in de PHPGurukul Time Table Generator System versie 1.0. Dit kritieke beveiligingslek kan leiden tot cross site scripting (XSS) en code injectie. De exploit van deze kwetsbaarheid is publiekelijk beschikbaar, en kan op afstand uitgevoerd worden, vooral gericht op het manipuleren van de adminname parameter in het /admin/profile.php bestand.
Overzicht
De kwetsbaarheid is geclassificeerd als medium ernstig volgens de CVSSv4.0 richtlijnen met een basis score van 5.1. Het vereist beperkte gebruikersinteractie en geeft aanvallers een mogelijkheid tot onbedoelde acties via gemanipuleerde scripts.
Het probleem treft specifiek versie 1.0 van het PHPGurukul Time Table Generator System, en vereist dat de aanvaller beperkt geautoriseerd is en de gebruiker interactie heeft met de manipulatieve acties.
Aanbevelingen
- Controleer of uw systeem de jongste updates en patches heeft.
- Beperk toegang tot de
/admin/profile.phppagina tot alleen geautoriseerde gebruikers. - Overweeg het toepassen van web application firewalls (WAFs) om XSS-aanvallen te minimaliseren.
Bronnen
- VDB-317082 | PHPGurukul Time Table Generator System profile.php cross site scripting
- VDB-317082 | CTI Indicators
- Submit #619141 | Cross Site Scripting
- Issue Tracking on GitHub
- Exploit beschikbaar op Google Drive
- PHPGurukul Officiële Website
Vraag en Antwoord
Wat is CVE-2025-7941?
Dit refereert naar een specifieke kwetsbaarheid in PHPGurukul Time Table Generator System die cross site scripting en code injectie betreft.
Welke systemen zijn kwetsbaar voor CVE-2025-7941?
Versie 1.0 van PHPGurukul Time Table Generator System is kwetsbaar door manipulatie van de adminname parameter in de profile.php pagina.
Bestaat er al een patch of beveiligingsupdate?
Zodra er een update of patch wordt uitgebracht, adviseer ik deze onmiddellijk toe te passen. Raadpleeg regelmatig de officiële PHPGurukul website voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan via deze kwetsbaarheid scripts injecteren, waardoor gevoelige informatie onthuld kan worden of de controle van een gebruiker kan worden overgenomen.
