Een kritieke kwetsbaarheid, CVE-2025-7757, is ontdekt in PHPGurukul’s Land Record System versie 1.0. Deze kwetsbaarheid zit in de /edit-property.php route en maakt SQL-injectie mogelijk door middel van het editid argument. De kwetsbaarheid kan op afstand worden uitgebuit en een exploit is al openbaar beschikbaar.
Overzicht
De kwetsbaarheid valt onder de categorieën CWE-89 (SQL-injectie) en CWE-74 (injectie), zoals vastgesteld door de CVE Specificatie. De potentiële impact van deze kwetsbaarheid is hoog, met een CVSS-score van 7.3. Kwaadwillenden kunnen hiermee gevoelige gegevens blootstellen of wijzigen in het systeem zonder authenticatie.
Aanbevelingen
- Controleer of u versie 1.0 van het PHPGurukul Land Record System draait en overweeg zo snel mogelijk bij te werken of alternatieve beveiligingsmaatregelen te implementeren.
- Zorg voor een goede inputvalidatie om SQL-injectieaanvallen te voorkomen.
- Beperk tijdelijke toegang tot de kwetsbare functie totdat een patch wordt uitgebracht.
Bronnen
- VDB-316747 | PHPGurukul Land Record System edit-property.php sql injection
- Submit #615705 | PHPGurukul Land Record System V1.0 SQL Injection
- Exploit op GitHub
- PHPGurukul Website
Vraag en Antwoord
Wat is CVE-2025-7757?
Dit is een kritieke SQL-injectie kwetsbaarheid in PHPGurukul Land Record System versie 1.0.
Welke systemen zijn kwetsbaar voor CVE-2025-7757?
Systemen die de 1.0 versie van het PHPGurukul Land Record System gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen officiële patch beschikbaar, maar het is aan te raden om inputvalidatietechnieken en toegangsbeperkingen te gebruiken als tijdelijke maatregelen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid gebruiken om zonder authenticatie SQL-commando’s uit te voeren, waardoor mogelijk toegang tot of manipulatie van gevoelige gegevens.
