WeGIA, een open source webmanager, is getroffen door een kritieke SQL-injectie (CVE-2025-54060) in de idatendido_familiares parameter van het /html/funcionario/dependente_editarInfoPessoal.php eindpunt. Deze kwetsbaarheid biedt kwaadwillenden de mogelijkheid om SQL-opdrachten te manipuleren en toegang te verkrijgen tot gevoelige database-informatie.
Overzicht
Deze kwetsbaarheid kan worden uitgebuit via netwerkaanvallen met lage complexiteit zonder vereiste gebruikersinteractie. Aangezien er geen hoge privileges nodig zijn om dit lek te misbruiken, is het risico dat een aanvaller vertrouwelijke gegevens benadert, ingrijpend.
Aanbevelingen
- Update WeGIA naar versie 3.4.6. Deze versie bevat patches die het probleem oplossen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54060?
Dit is een kritieke beveiligingslek in de WeGIA software waarbij een SQL-injectie mogelijk is via ongecontroleerde invoer.
Welke systemen zijn kwetsbaar voor CVE-2025-54060?
Versies van WeGIA lager dan 3.4.6 zijn kwetsbaar voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.4.6 van WeGIA bevat een patch om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige informatie in de database, waaronder tabelnamen en andere belangrijke gegevens.
