Er is een kritiek lek ontdekt in de code-projects Online Ordering System versie 1.0, aangeduid als CVE-2025-8235. De kwetsbaarheid betreft een SQL-injectie die een aanvaller in staat stelt via de /admin/product.php bestandsmanipulatie ongeoorloofde toegang tot databases te verkrijgen en gevoelige informatie te bemachtigen.
Met een CVSS-score van 7.3 (hoog risico) kan deze kwetsbaarheid op afstand worden uitgebuit zonder dat enige gebruikersinteractie vereist is. Een succesvolle aanval kan leiden tot ongeautoriseerde toegang en ernstige schade aan uw systeem.
Overzicht
De kwetsbaarheid wordt veroorzaakt door het verkeerd verwerken van de Name parameter in het /admin/product.php bestand, resulterend in SQL-injectie (CWE-89 en CWE-74). Deze fout is publiekelijk bekend en er zijn al exploits beschikbaar.
Aanbevelingen
- Update direct naar de meest recente versie van het Online Ordering System zodra er een patch beschikbaar is.
- Implementeer inputvalidatie om onveilige gegevensinvoer te voorkomen.
Bronnen
- VDB-317823 | code-projects Online Ordering System product.php sql injection
- VDB-317823 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #622390 | code-projects Online Ordering System V1.0 SQL injection
- GitHub exploit tracking
- code-projects officiële website
Vraag en Antwoord
Wat is CVE-2025-8235?
CVE-2025-8235 verwijst naar een ernstige SQL-injectiekwetsbaarheid in de code-projects Online Ordering System versie 1.0.
Welke systemen zijn kwetsbaar voor CVE-2025-8235?
De getroffen systemen zijn degene die code-projects Online Ordering System versie 1.0 gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Houd de officiële bronnen van code-projects in de gaten voor updates over beveiligingspatches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan op afstand toegang krijgen tot de database en gevoelige gegevens compromitteren, potentiële schade aan het gehele netwerk toebrengen.
