Er is een kritieke kwetsbaarheid ontdekt in de 1000projects ABC Courier Management versie 1.0, aangeduid als CVE-2025-7466. Deze kwetsbaarheid betreft een SQL-injectie in het bestand /add_dealerrequest.php. Door manipulatie van argumenten binnen deze functionaliteit kan een aanvaller op afstand een SQL-injectie uitvoeren.
Overzicht
De kwetsbaarheid is gerapporteerd door de VulDB-gebruiker kens en geldt als kritiek (CWE-89, CWE-74). De SQL-injectie betreft het manipuleren van de invoerparameter ‘Name’, waardoor kwaadwillenden de database kunnen compromitteren en mogelijk toegang kunnen verkrijgen tot gevoelige informatie. De huidige CVSS-score varieert van een basiswaarde van 6.9 tot 7.5, afhankelijk van de versie.
Aanbevelingen
- Update onmiddellijk naar een nieuwere versie van 1000projects ABC Courier Management indien beschikbaar.
- Controleer regelmatig op updates of patches van 1000projects om beveiligingsrisico’s te minimaliseren.
- Implementeer inputvalidatie op alle invoervelden in uw webapplicatie om gelijkaardige aanvalsvectoren te voorkomen.
Bronnen
- VDB-316118 | 1000projects ABC Courier Management add_dealerrequest.php sql injection
- VDB-316118 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #610390 | 1000projects ABC Courier Management System v1.0 SQL Injection
- GitHub Issue Tracking voor exploit
Vraag en Antwoord
Wat is CVE-2025-7466?
Het is een bekende kwetsbaarheid genaamd SQL-injectie in 1000projects ABC Courier Management.
Welke systemen zijn kwetsbaar voor CVE-2025-7466?
ABC Courier Management versie 1.0 is kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer de website van de leverancier voor beschikbare updates of patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder autorisatie toegang verkrijgen tot de database en deze mogelijk manipuleren.
De exploit is publiekelijk beschikbaar, wat betekent dat kwaadwillenden deze kwetsbaarheid kunnen misbruiken als er geen tijdige maatregelen worden genomen.
