Er is een ernstige kwetsbaarheid ontdekt in de itsourcecode Online Tour and Travel Management System versie 1.0. Deze kwetsbaarheid kan leiden tot een onbeperkte upload van bestanden, waardoor aanvallers mogelijk ongeoorloofde toegang tot het systeem kunnen krijgen. Het probleem treft het bestand /admin/operations/travellers.php en kan op afstand worden uitgebuit. De exploit is momenteel openbaar beschikbaar en mogelijk reeds in gebruik.
Overzicht
De kwetsbaarheid maakt gebruik van onbeperkte uploadmogelijkheden door slechte toegangscontrole, specifiek door manipulatie van het photo-argument. Hierdoor kunnen kwaadwillenden zonder authenticatie potentieel schadelijke bestanden uploaden naar het systeem.
Metrics
- CVSS V4.0 Basis Score: 5.3 (Medium)
- CVSS V3.1 Basis Score: 6.3 (Medium)
- CVSS V2.0 Basis Score: 6.5 (Medium)
Bronnen
- VDB-320533 | itsourcecode Online Tour and Travel Management System travellers.php unrestricted upload
- VDB-320533 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #630200 | itsourcecode Online Tour and Travel Management System V1.0 Unrestricted Upload
- Gebruikte exploit op GitHub
- Officiële itsourcecode website
Vraag en Antwoord
Wat is CVE-2025-9153?
CVE-2025-9153 is een beveiligingsfout die ongewenste upload van bestanden toestaat binnen het itsourcecode Online Tour and Travel Management System.
Welke systemen zijn kwetsbaar voor CVE-2025-9153?
Versie 1.0 van het itsourcecode Online Tour and Travel Management System is kwetsbaar voor deze fout.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen informatie beschikbaar over een bestaande patch. Controleer regelmatig updates van de leverancier.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel schadelijke bestanden zonder beperkingen naar het doelbestand uploaden, wat kan leiden tot verdere aanvallen of compromittering van het systeem.
