Er is een kritiek beveiligingslek ontdekt in de OpenAtlas v8.11.0 van het Austrian Archaeological Institute. Deze kwetsbaarheid maakt een SQL-injectieaanval mogelijk, wat betekent dat een aanvaller via de netwerkomgeving onbevoegd toegang kan krijgen tot onderliggende databases zonder dat daar interactie met de gebruiker voor nodig is. Een potentiële aanvaller kan toegang verkrijgen tot gevoelige gegevens, inclusief mogelijke manipulatie van gegevens.
Overzicht
Het beveiligingslek CVE-2025-51535 is gerelateerd aan een onjuiste neutralisatie van speciale elementen die in een SQL-commando worden gebruikt. Deze kwetsbaarheid heeft een CVSS basis score van 6.5 en wordt geclassificeerd als ‘medium’ qua ernst. Door het ongecontroleerd inbrengen van SQL-commando’s kan een aanvaller mogelijk de integriteit en vertrouwelijkheid van de gegevens aantasten.
Aanbevelingen
- Controleer en valideer alle SQL-commando’s die aan de OpenAtlas webapplicatie worden aangeboden.
- Implementeer beveiligingsoplossingen zoals prepared statements of ORM frameworks om SQL-injectie te mitigeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51535?
CVE-2025-51535 is een beveiligingslek in OpenAtlas v8.11.0, dat SQL-injectie mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-51535?
Alle systemen die OpenAtlas v8.11.0 gebruiken en deze niet hebben beveiligd tegen SQL-injectie zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er zijn momenteel geen patches vrijgegeven, het is aanbevolen om beveiligingsmaatregelen zoals input validatie toe te passen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeauthoriseerde toegang tot de database verkrijgen, wat kan leiden tot het uitlekken of wijzigen van gevoelige informatie.
