Er is een serieuze beveiligingskwetsbaarheid ontdekt in itsourcecode Online Tour and Travel Management System versie 1.0. Deze kwetsbaarheid, CVE-2025-9155, betreft een SQL-injectie in het bestand /user/forget_password.php en kan mogelijk misbruikt worden om op afstand toegang te krijgen tot gevoelige gegevens.
Een aanvaller kan via manipulatie van het ‘email’ argument in de sql-injectie uitvoeren. Dit maakt het mogelijk om onbevoegde toegang te krijgen, waarmee de integriteit en vertrouwelijkheid van de data in gevaar komt.
Overzicht
Deze kwetsbaarheid is openbaar gemaakt en kan door kwaadwillenden worden benut, wat de dreiging ervan vergroot. De ernst van de kwetsbaarheid is beoordeeld met een CVSS-score van 7.3, wat als hoog wordt aangemerkt.
Aanbevelingen
- Werk uw itsourcecode Online Tour and Travel Management System bij naar een nieuwere versie zodra deze beschikbaar is.
- Implementeer webapplicatie-firewalls om verdachte toegangspogingen te blokkeren.
Bronnen
- VDB-320535: itsourcecode Online Tour and Travel Management System sql injectie
- CTI Indicators
- Exploit op GitHub
Vraag en Antwoord
Wat is CVE-2025-9155?
Het betreft een kwetsbaarheid die SQL-injectie mogelijk maakt in de ‘forget password’ functionaliteit van het Online Tour and Travel Management System.
Welke systemen zijn kwetsbaar voor CVE-2025-9155?
Alle systemen die gebruikmaken van itsourcecode Online Tour and Travel Management System versie 1.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van publiceren is er nog geen patch beschikbaar gesteld. Het wordt aangeraden aanvullende beveiligingsmaatregelen te nemen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan SQL-injecties uitvoeren om toegang te krijgen tot vertrouwelijke informatie en mogelijk controle over het systeem overnemen.
