De kwetsbaarheid CVE-2025-8497 heeft een kritiek lek blootgelegd in de ‘Online Medicine Guide’ software van code-projects, versie 1.0. Dit lek maakt gebruik van SQL-injectie via de /cusfindphar2.php pagina, wat aanvallers op afstand de mogelijkheid geeft om willekeurige SQL-commando’s uit te voeren.
De impact is aanzienlijk aangezien aanvallers zonder authenticatie toegang kunnen krijgen tot gevoelige gegevens of de database kunnen manipuleren. Deze kwetsbaarheid heeft al een publieke exploit, waardoor het risico op misbruik toeneemt.
Overzicht
De kwetsbaarheid betreft een SQL-injectie, geïdentificeerd als CWE-89 en CWE-74, wat laat zien dat de invoer van gebruikers niet adequaat gefilterd of gesanitiseerd wordt, resulterend in onbeveiligde SQL-uitvoeringen.
Aanbevelingen
- Controleer of er beveiligingsupdates beschikbaar zijn voor de ‘Online Medicine Guide’ en voer deze zo snel mogelijk uit.
- Implementeer inputvalidatie en gebruik voorbereidende statements om SQL-injecties te voorkomen.
Bronnen
- VDB-318596 | code-projects Online Medicine Guide cusfindphar2.php sql injection
- VDB-318596 | CTI Indicators
- Submit #626776 | code-projects Online Medicine Guide V1.0 SQL Injection
- Exploit Issue Tracking
- Product Website
Vraag en Antwoord
Wat is CVE-2025-8497?
Het betreft een kritieke SQL-injectiekwetsbaarheid in de ‘Online Medicine Guide’ software van code-projects.
Welke systemen zijn kwetsbaar voor CVE-2025-8497?
Alle systemen die versie 1.0 van de ‘Online Medicine Guide’ gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Op moment van schrijven is er geen officiële patch, maar langetermijnbescherming kan bereikt worden door invoervalidatie en voorbereidende statements te implementeren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan onbevoegde SQL-commando’s uitvoeren, wat kan leiden tot datalekken en ongeautoriseerde toegang tot de database.
