EspoCRM, een populair open-source CRM-platform, heeft een kritieke kwetsbaarheid onder de CVE-2025-52575 waardoor onbevoegde aanvallers via LDAP-injectie toegang kunnen krijgen. Deze kwetsbaarheid, aanwezig in versies tot 9.1.6, maakt het mogelijk dat aanvallers LDAP-query’s manipuleren met speciaal vervaardigde invoer.
Met deze kwetsbaarheid kunnen aanvallers authenticatiecontroles omzeilen, geldige gebruikersnamen achterhalen of gevoelige informatie uit de directory opvragen, afhankelijk van de configuratie van de LDAP-server.
Overzicht
EspoCRM versies < 9.1.7 zijn vatbaar door een blinde LDAP-injectie. Deze kwetsbaarheid vereist geen toestemming en er is geen interactie met gebruikers nodig om misbruikt te worden.
Aanbevelingen
- Update EspoCRM naar versie 9.1.7 of hoger om de kwetsbaarheid te verhelpen.
Updates kunnen gedownload worden vanuit de officiële espocrm-repository.
- Overweeg om LDAP-instellingen te herzien en hierop aanvullende validaties toe te passen.
Vraag en Antwoord
Wat is CVE-2025-52575?
Dit is een beveiligingslek in EspoCRM dat aanvallers via LDAP-injectie toegang geeft tot potentieel gevoelige informatie.
Welke systemen zijn kwetsbaar voor CVE-2025-52575?
Alle systemen die gebruikmaken van EspoCRM versies eerder dan 9.1.7 en LDAP-authenticatie geconfigureerd hebben.
Bestaat er al een patch of beveiligingsupdate?
Ja, een patch is uitgebracht in versie 9.1.7 van EspoCRM.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de opties van authenticatie omzeilen, geldige gebruikersnamen achterhalen en mogelijk gevoelige directory-informatie opvragen.
Bronnen
- Meer details zijn te vinden op de officiële GitHub-beveiligingsadviezen.
- Voor de broncode update, bezoek de GitHub repository commit sectie.
