Er is een problematische kwetsbaarheid ontdekt in jshERP tot versie 3.5. Deze kwetsbaarheid betreft een zwakke wachtwoordherstelprocedure die via de /jshERP-boot/user/updatePwd functie kan worden misbruikt. Dit probleem kan op afstand worden aangevallen en is reeds openbaar gemaakt, waardoor een mogelijk risico voor uw systeem ontstaat.
Overzicht
De kwetsbaarheid met identificatie CVE-2025-7948 leidt tot een verzwakt wachtwoordherstelmechanisme. Hierdoor hebben kwaadwillenden de mogelijkheid om toegang te krijgen tot uw systeemgegevens zonder adequate beveiligingsmaatregelen.
Aanbevelingen
- Controleer of uw jshERP versie tussen 3.0 en 3.5 ligt. Indien ja, overweeg om wachtwoordherstelprocedures te herzien en beveiligingsadvies te volgen.
- Pas passende netwerkbeveiligingsmaatregelen toe om ongewilde toegangspogingen te detecteren en blokkeren.
Bronnen
- VDB-317089 | jshERP updatePwd wachtwoordherstel
- VDB-317089 | CTI-indicatoren
- Submit #619277 | jishenghua GitHub
- GitHub Issue Tracking
Vraag en Antwoord
Wat is CVE-2025-7948?
Het betreft een beveiligingslek in jshERP dat een zwakke wachtwoordherstelprocedure blootlegt.
Welke systemen zijn kwetsbaar voor CVE-2025-7948?
Systeemversies van jshERP tussen 3.0 en 3.5 zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen officiële patch bekend, het is raadzaam om netwerkbeveiliging te versterken en het wachtwoordherstel te herzien.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan proberen om ongeautoriseerde toegang tot systemen te verkrijgen door misbruik te maken van de wachtwoordherstelbeperking.
