Een kritieke beveiligingslek, aangeduid als CVE-2025-7860, is onthuld in de 1.0 versie van het Church Donation System ontwikkeld door code-projects. Deze kwetsbaarheid betreft een SQL-injectie in de /members/login_admin.php via de parameter Username. Dit kan op afstand worden misbruikt door kwaadwillenden.
Overzicht
De kwetsbaarheid in het systeem is gecategoriseerd onder CWE-89 en CWE-74, wat wijst op mogelijke SQL-injectie-aanvallen. Bij uitbuiting van deze kwetsbaarheid kan een aanvaller ongeautoriseerde toegang krijgen tot de achterliggende databases, met mogelijke onthulling of manipulatie van gevoelige gegevens als gevolg.
Impact en Analyse
- CVSS 4.0 Score: 6.9/10 (Medium)
- CVSS 3.1 Score: 7.3/10 (Hoog)
- CVSS 2.0 Score: 7.5/10
Volgens de CVSS scores is de kwetsbaarheid significant en vergt deze directe aandacht om risico’s te minimaliseren.
Aanbevelingen
- Zorg voor een onmiddellijke evaluatie van beveiligingsmaatregelen rondom de getroffen
/members/login_admin.phpscript. - Pas inputvalidatie- en parameterbindtechnieken toe om SQL-injectiemogelijkheden te beperken.
- Overweeg een systeemupdate of patch zodra deze beschikbaar komt van één van de leveranciers.
Bronnen
- VDB-316973 | code-projects Church Donation System login_admin.php sql injection
- VDB-316973 | CTI Indicators (IOB, IOC, TTP, IOA)
- GitHub Issue Tracking
- Code-Projects Homepage
Vraag en Antwoord
Wat is CVE-2025-7860?
Dit is een specifieke kwetsbaarheid in de Church Donation System software die SQL-injectie mogelijk maakt via de admin login.
Welke systemen zijn kwetsbaar voor CVE-2025-7860?
Systemen die de Church Donation System versie 1.0 van code-projects draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen officiële patch beschikbaar. Het wordt aanbevolen om aanvullende beveiligingsmaatregelen zoals inputvalidatie in te zetten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde database toegang verkrijgen, gevoelige gegevens uitlekken of wijzigingen aanbrengen zonder toestemming.
