Er is een kritieke kwetsbaarheid gevonden in jshERP versies tot 3.5, aangeduid als CVE-2025-7947. Deze kwetsbaarheid betreft ongeoorloofde toegangsbeheer op het pad /user/delete binnen de component Account Handler. Door manipulatie van het ID-argument kunnen aanvallers misbruik maken van deze zwakke plek. De kwetsbaarheid kan op afstand worden geëxploiteerd en de exploit is reeds publiekelijk beschikbaar. Dit verhoogt het risico op ongeoorloofde acties op uw netwerk enorm.
Gebruikers van het jshERP-systeem moeten zich bewust zijn van de impact van deze kwetsbaarheid, aangezien een aanvaller hierdoor mogelijk ongeautoriseerde toegang kan verkrijgen om volledige accounts te verwijderen zonder toestemming.
Overzicht
- Versie: 3.0 tot 3.5
- Component: Account Handler
- CWE-285: Ongepaste autorisatie
- CWE-266: Onjuiste toewijzing van privileges
- CVSS-score: 5.4 Medium
Aanbevelingen
- Controleer en update jshERP-systemen naar de meest recente versie zodra een patch beschikbaar is.
- Implementeer netwerkmonitoring en extra toegangscontroles om misbruik te detecteren.
- Informeer gebruikers over de verhoogde risico’s en moedig hen aan waakzaam te zijn voor verdachte activiteiten.
Bronnen
- VDB-317088 | jshERP Account delete improper authorization
- VDB-317088 | CTI Indicators
- Submit #619276 | jishenghua
- GitHub problemenlijst #124
Vraag en Antwoord
Wat is CVE-2025-7947?
CVE-2025-7947 is een kwetsbaarheid in jshERP waarmee een aanvaller account deletes kan uitvoeren zonder de juiste toestemming.
Welke systemen zijn kwetsbaar voor CVE-2025-7947?
Alle systemen die gebruikmaken van jshERP versies 3.0 tot en met 3.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen patch beschikbaar, dus implementeren van voorlopige beveiligingsmaatregelen is aan te raden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeoorloofd gebruikersaccounts verwijderen, wat kan leiden tot verlies van belangrijke gegevens en functionaliteit.
Wees alert en controleer uw systemen vandaag nog!
