Er is een kritiek beveiligingslek ontdekt in de PHPGurukul Small CRM v3.0, geïdentificeerd als CVE-2025-50484. Deze kwetsbaarheid maakt misbruik van onjuiste sessie-invalidatie in het component /crm/change-password.php en maakt het mogelijk voor aanvallers om een sessie-kapingsaanval uit te voeren.
De impact van deze kwetsbaarheid is hoog, met een CVSS-score van 7.1. Aanvallers kunnen via een netwerkverbinding, zonder dat er speciale rechten benodigd zijn, de integriteit van systemen aantasten en gevoelige informatie blootleggen.
Overzicht
Het probleem wordt veroorzaakt door onvoldoende sessieverloop, gecategoriseerd onder CWE-613. Dit betekent dat de sessies niet correct worden beëindigd, wat een venster biedt voor kapers om sessie-informatie over te nemen en toegang te krijgen tot gebruikersaccounts zonder hun toestemming.
Aanbevelingen
- Voer zo snel mogelijk een update uit naar een gepatchte versie van de PHPGurukul Small CRM indien beschikbaar.
- Overweeg om sessietijdsinstellingen te herzien en aan te passen om de verlopen sessies sneller te beëindigen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50484?
CVE-2025-50484 betreft een kwetsbaarheid in de PHPGurukul Small CRM v3.0 waarbij onjuiste sessie-invalidatie kan leiden tot sessie-kapingen.
Welke systemen zijn kwetsbaar voor CVE-2025-50484?
Systemen die gebruik maken van PHPGurukul Small CRM versie 3.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer bij de leverancier, PHPGurukul, voor eventuele updates of patches voor versie 3.0.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan sessies kapen en toegang krijgen tot gebruikersaccounts, waardoor gevoelige informatie in gevaar komt.
