Er is een kritieke kwetsbaarheid ontdekt in SourceCodester Online Bank Management System versie 1.0. De kwetsbaarheid stelt kwaadwillende actoren in staat om een SQL-injectie uit te voeren in het bestand /bank/show.php. Dit kan vanaf een externe locatie worden misbruikt, en de exploit is reeds publiekelijk beschikbaar. Het is raadzaam direct actie te ondernemen om potentiële schade te voorkomen.
Overzicht
De kwetsbaarheid, aangeduid als CVE-2025-9304, beïnvloedt een onbekende functie binnen het /bank/show.php bestand. Door manipulerend gebruik van het argument ID kan succesvolle SQL-injectie plaatsvinden.
Met een CVSS score van 7.3 wordt deze kwetsbaarheid geclassificeerd als ‘HOOG’, wat erop wijst dat er serieuze risico’s zijn. Het betreft een probleem met een laag complexiteitsniveau, waarvoor geen speciale gebruikersinteractie nodig is.
Aanbevelingen
- Controleer uw systemen op de aanwezigheid van de kwetsbare versie en voer indien mogelijk een update uit naar een gepatchte versie.
- Implementeer netwerkbeveiligingsmaatregelen om kwaadaardige verzoeken naar
/bank/show.phpte blokkeren. - Monitor onvertraagd logbestanden om vroegtijdig verdachte activiteiten te ontdekken.
Bronnen
- VDB-320909 | SourceCodester Online Bank Management System show.php sql injection
- VDB-320909 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #632411 | SourceCodester Online Bank Management System 1.0 SQL Injection
- Github – CVE Issue Tracking
Vraag en Antwoord
Wat is CVE-2025-9304?
Het betreft een SQL-injectie kwetsbaarheid in SourceCodester Online Bank Management System 1.0, die externe aanvallers kan toelaten database verzoeken te manipuleren.
Welke systemen zijn kwetsbaar voor CVE-2025-9304?
Zowel systemen die versie 1.0 van het SourceCodester Online Bank Management System gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen specifieke patch vrijgegeven. Houd de officiële bronnen in de gaten voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde databasehandelingen uitvoeren, wachtwoorden stelen, of toegang krijgen tot gevoelige financiële gegevens zonder medeweten van de gebruiker.
