Er is een kritieke kwetsbaarheid gevonden in de Simple Car Rental System versie 1.0 van code-projects, bekend als CVE-2025-7475. Dit probleem treft het bestand /pay.php waar een onveilige manipulatie van het mpesa argument kan leiden tot een SQL-injectie. Deze kwetsbaarheid kan op afstand worden uitgebuit, wat betekent dat een aanvaller ongeautoriseerde toegang tot uw systeem kan krijgen zonder uw medeweten.
Overzicht
De kwetsbaarheid heeft een CVSS-score van 7.3 volgens versie 3.1 en wordt als ‘hoog’ geclassificeerd. Het geeft een aanvaller potentiële toegang tot gevoelige informatie en de mogelijkheid om gegevens te manipuleren of te verwijderen.
Aanbevelingen
- Plaats beveiligingscontroles op invoer en validering van gegevens op de serverzijde.
- Werk uw systeem en al zijn componenten onmiddellijk bij naar de nieuwste versies die beveiligingspatches omvatten.
Bronnen
- VDB-316125 | code-projects Simple Car Rental System pay.php sql injection
- VDB-316125 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #610432 | code-projects Simple Car Rental System 1.0 SQL Injection
- Exploit details op GitHub
- Productpagina Simple Car Rental System
Vraag en Antwoord
Wat is CVE-2025-7475?
CVE-2025-7475 is een kwetsbaarheid in het Simple Car Rental System die een SQL-injectie mogelijk maakt via het mpesa argument binnen het bestand /pay.php.
Welke systemen zijn kwetsbaar voor CVE-2025-7475?
Alle systemen die versie 1.0 van de Simple Car Rental System gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Momenteel is er geen specifieke patch of update beschikbaar voor deze versie. Het is belangrijk aanbevelingen op te volgen en systemen nauwkeurig te beveiligen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder enige vorm van autorisatie toegang krijgen tot gevoelige systemen en mogelijk databases wijzigen of vernietigen.
