Er is een kritieke kwetsbaarheid ontdekt in code-projects Job Diary versie 1.0, aangeduid als CVE-2025-7474. Deze kwetsbaarheid betreft een SQL-injectie in het bestand /search.php die extern kan worden uitgevoerd, waardoor een aanvaller potentieel toegang krijgt tot de database zonder vereiste inloggegevens.
Deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang en manipulatie van gegevens. Aangezien een exploit reeds openbaar is gemaakt, is onmiddellijke actie noodzakelijk om misbruik te voorkomen.
Overzicht
De CVE-2025-7474 maakt gebruik van een SQL-injectietechniek (CWE-89), waarbij de parameter Search gemanipuleerd kan worden, wat leidt tot ongewenste databankoperaties. Dit probleem is van toepassing op de versie 1.0 van Job Diary van code-projects.
Aanbevelingen
- Controleer de VDB-316124 voor technische details en mogelijke mitigatieopties.
- Beperk toegang tot de kwetsbare pagina
/search.phptot verdere beveiligingspatches beschikbaar zijn. - Pas inputvalidatie en parameterbinding toe op alle SQL-uitvoeringen om dergelijke aanvallen te beperken.
Bronnen
- VulDB – VDB-316124
- VulDB – CTI Indicators
- Third-party Advisory Submit #610135
- GitHub – CVE Issue Tracking
- Productpagina code-projects
Vraag en Antwoord
Wat is CVE-2025-7474?
Dit is een geregistreerde kwetsbaarheid die SQL-injectie in de Job Diary software van code-projects mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-7474?
Alle systemen die gebruikmaken van versie 1.0 van Job Diary zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is nog geen officiële patch beschikbaar. Gebruikers moeten in de tussentijd beperkende maatregelen nemen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige gegevens in de database en deze manipuleren zonder authenticatie.
