Een kritieke zwakte, aangeduid als CVE-2025-9140, treft Shanghai Lingdang Information Technology Lingdang CRM tot versies 8.6.4.7, waardoor SQL-injecties mogelijk zijn via /crm/crmapi/erp/tabdetail_moduleSave.php. Anonieme aanvallers kunnen misbruik maken van deze kwetsbaarheid door manipulatie van getvaluestring, wat onbeperkte toegang tot uw systemen mogelijk maakt.
Overzicht
De SQL-injectie treft de versies:
- 8.6.4.0
- 8.6.4.1
- 8.6.4.2
- 8.6.4.3
- 8.6.4.4
- 8.6.4.5
- 8.6.4.6
- 8.6.4.7
Versie 8.6.5.4 is niet aangedaan en biedt een oplossing voor het probleem.
Aanbevelingen
- Update uw Lingdang CRM naar versie 8.6.5.4 of hoger om de zwakte op te heffen.
- Voer een beveiligingscontrole uit op uw systemen om eventuele tekenen van uitbuiting te detecteren.
Bronnen
- VDB-320520 | Shanghai Lingdang Information Technology Lingdang CRM SQL injectie
- VDB-320520 | CTI Indicatoren
- Inzending #628087 | SQL Injectie
- Gedetailleerd exploit voorbeeld
Vraag en Antwoord
Wat is CVE-2025-9140?
CVE-2025-9140 is een SQL-injectie kwetsbaarheid in Lingdang CRM.
Welke systemen zijn kwetsbaar voor CVE-2025-9140?
Versies 8.6.4.0 tot 8.6.4.7 van Lingdang CRM zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 8.6.5.4 om het probleem te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeoorloofde toegang krijgen tot systemen en gegevensbeveiliging omzeilen.
