Er is een kritieke SQL-injectie kwetsbaarheid ontdekt in Bacula-web, CVE-2025-45346. Deze kwetsbaarheid stelt aanvallers in staat om via een speciaal geprepareerde HTTP GET-verzoek willekeurige code uit te voeren op systemen die draaien op versies voor v9.7.1. Hierdoor kan een aanvaller onbeperkte toegang krijgen en controle over het getroffen systeem overnemen zonder dat interactie van de gebruiker vereist is.
Overzicht
Bacula-web is blootgesteld aan een gevaarlijke SQL-injectie fout, geïdentificeerd als CWE-89. Deze kwetsbaarheid is ontdekt in alle versies voor v9.7.1. Het probleem laat het injecteren van schadelijke SQL-commando’s toe door een aanvaller die controle kan krijgen over gevoelige gegevens, integriteit van data kan compromitteren, en de beschikbaarheid van systematische functies kan verstoren.
Aanbevelingen
- Update naar de laatste versie van Bacula-web, v9.7.1, die deze kwetsbaarheid verhelpt.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-45346?
Dit is een beveiligingslek dat een SQL-injectie mogelijkheid in Bacula-web beschrijft, waarmee ongeautoriseerde toegang verkregen kan worden tot databases via een aangepaste HTTP GET-verzoek.
Welke systemen zijn kwetsbaar voor CVE-2025-45346?
Alle systemen die draaien op Bacula-web versies ouder dan v9.7.1 zijn kwetsbaar voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 9.7.1 van Bacula-web bevat een patch voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder enige gebruikersinteractie volledige controle over het systeem verwerven, gevoelige gegevens stelen en de integriteit van de systeemgegevens compromitteren.
