Er is een beveiligingslek ontdekt in de software phpThumb, specifiek in versie 1.7.23 en eerder. Dit lek, aangeduid als CVE-2025-52994, maakt OS-opdrachtinjectie mogelijk via een speciaal vervaardigde parameterwaarde. Dit betekent dat een kwaadwillende partij potentieel kwaadaardige opdrachten kan uitvoeren op het onderliggende besturingssysteem door misbruik te maken van de ‘gif_outputAsJpeg’ functie.
Overzicht
De kwetsbaarheid betreft het improper neutralization of special elements used in an OS command, wat bekend staat als CWE-78. Deze kwetsbaarheid is inmiddels verholpen in versie 1.7.23-202506081709 van phpThumb.
Aanbevelingen
- Werk phpThumb bij naar ten minste versie 1.7.23-202506081709 om deze kwetsbaarheid te verhelpen. De updates zijn te vinden op de officiële GitHub-releases-pagina.
- Controleer de systeemlogboeken en andere beveiligingsmonitoringstools om te zien of er pogingen zijn gedaan om van deze kwetsbaarheid misbruik te maken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-52994?
CVE-2025-52994 is een beveiligingslek in phpThumb dat OS Command Injection mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-52994?
Alle systemen die phpThumb versie 1.7.23 of lager draaien, zijn kwetsbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update vrijgegeven. Update naar versie 1.7.23-202506081709 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk kwaadaardige opdrachten uitvoeren op het besturingssysteem dat phpThumb draait, wat tot datalekken of systeemcompromittering kan leiden.
