Er is een kritieke kwetsbaarheid ontdekt in jshERP tot en met versie 3.5 onder de CVE-2025-7566. Deze kwetsbaarheid kan externe aanvallers in staat stellen om via een path traversal-aanval toegang te krijgen tot gevoelige bestanden door manipulatie van het Title-argument in de exportExcelByParam-functie van /src/main/java/com/jsh/erp/controller/SystemConfigController.java bestand. Dit kan vergaande gevolgen hebben voor de veiligheid van uw infrastructuur, aangezien de exploit reeds publiekelijk beschikbaar is.
Het risico wordt verder vergroot door het feit dat het probleem door de leverancier niet formeel erkend is, en er geen respons is gekomen op de vroege meldingen over deze kwetsbaarheid.
Overzicht
Deze kwetsbaarheid, geclassificeerd als ‘Path Traversal’ onder CWE-22, laat aanvallers toe om door middel van path traversal toegang te krijgen tot andere delen van het systeem. Het netwerkvector geraakt door een CVSS-score van 5.1 op de CVSS 4.0 schaal, wat betekent dat, hoewel de exploit op afstand kan worden uitgevoegd, er enige voorkennis van het systeem vereist is.
Versies Gevoelig voor CVE-2025-7566
- jshERP 3.0
- jshERP 3.1
- jshERP 3.2
- jshERP 3.3
- jshERP 3.4
- jshERP 3.5
