Een kritieke kwetsbaarheid, CVE-2025-8220, heeft invloed op Engeman Web tot en met versie 12.0.0.1. Deze kwetsbaarheid, een SQL-injectie, is aanwezig in de LanguageCombobox van de Login/RecoveryPass pagina. Aanvallers kunnen op afstand deze kwetsbaarheid misbruiken, waardoor mogelijk toegang kan worden gekregen tot gevoelige gegevens.
Het gevaar van deze kwetsbaarheid ligt in de mogelijkheid voor een aanvaller om op afstand toegang te krijgen zonder dat er enige vorm van authenticatie nodig is. Het exploit is openbaar beschikbaar, wat de urgentie verhoogt om maatregelen te nemen.
Overzicht
De SQL-injectie maakt gebruik van een kwetsbare functie binnen de
/Login/RecoveryPass
van de Password Recovery Page component van Engeman Web. Er is geen reactie van de leverancier geweest ondanks eerdere meldingen.
Aanbevelingen
- Controleer uw systemen op blootstelling aan deze kwetsbaarheid.
- Monitor naar updates of patches van de leverancier om de kwetsbaarheid te verhelpen.
- Overweeg tijdelijke maatregelen zoals het belemmeren van toegang tot kwetsbare pagina’s totdat een patch beschikbaar is.
