Kritieke SQL-injectie in Campcodes Sales and Inventory System (CVE-2025-7933)

Huurhacker juli 21, 2025

Er is een kritieke kwetsbaarheid ontdekt in het Campcodes Sales and Inventory System versie 1.0. Deze kwetsbaarheid, met CVE ID CVE-2025-7933, kan leiden tot een SQL-injectie via de file /pages/settings_update.php van de component Setting Handler. Een aanvaller heeft de mogelijkheid om via deze kwetsbaarheid schadelijke SQL-commando’s uit te voeren op afstand zonder authenticatie.

Publieke exploit details zijn vrijgegeven, wat betekent dat kwaadwillenden deze kwetsbaarheid kunnen misbruiken.

Overzicht

De SQL-injectie lijkt in de argumentverwerking van de ID-parameter te zitten. Het probleem wordt geclassificeerd onder CWE-89 (SQL Injection) en CWE-74 (Injection). Versie 1.0 van het Sales and Inventory System is specifiek kwetsbaar. De kwetsbaarheid heeft een CVSS-basis score van 7.3 wat wijst op een hoge ernst.

Aanbevelingen

Controleer uw systemen en zorg ervoor dat ongeautoriseerde toegang via de kwetsbaarheid onmogelijk wordt gemaakt.
Overweeg om systemen met externe toegang af te schermen middels een firewall.
Houd updates van de leverancier in de gaten voor een eventuele patch en pas deze direct toe zodra beschikbaar.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-7933?

Dit is een kwetsbaarheid in het Campcodes Sales and Inventory System die SQL-injectie mogelijk maakt via manipulatie van invoerparameters in het bestand /pages/settings_update.php.

Welke systemen zijn kwetsbaar voor CVE-2025-7933?

Alle systemen die Campcodes Sales and Inventory System versie 1.0 draaien, zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Op dit moment is er nog geen betrouwbare patch of update bekend voor deze kwetsbaarheid.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan via deze kwetsbaarheid ongeautoriseerde toegang krijgen en mogelijk schadelijke SQL-commando’s uitvoeren, waarmee vertrouwelijke gegevens in gevaar kunnen komen.