Kritieke SQL-injectiekwetsbaarheid ontdekt in Simple Shopping Cart

Huurhacker juli 14, 2025

Er is een kritieke kwetsbaarheid ontdekt in de applicatie Simple Shopping Cart versie 1.0 van code-projects. Door een zwakte in save_order.php kan een aanvaller een SQL-injectie uitvoeren via het argument order_price, wat kan leiden tot ongeautoriseerde toegang tot de database. Deze kwetsbaarheid, CVE-2025-7607, is openbaar bekendgemaakt en kan op afstand worden uitgebuit.

Overzicht

De kwetsbaarheid komt voort uit de manipulatie van het order_price argument, waardoor een SQL-injectie mogelijk wordt. Dit probleem is geclassificeerd als CWE-89, wat duidt op een SQL-injectieaanval, en CWE-74, dat wijst op een injectiefout.

Impactanalyse

CVSS versie 3.1 geeft een basis score van 7.3, wat betekent dat het een hoge ernst heeft.
Het probleem kan op afstand worden uitgebuit zonder enige vorm van authenticatie.
Deze kwetsbaarheid kan leiden tot gedeeltelijke invloed op de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens.

Aanbevelingen

Controleer of er updates beschikbaar zijn voor de Simple Shopping Cart en pas deze onmiddellijk toe.
Overweeg het plaatsen van web application firewalls (WAF) om mogelijke injectie aanvallen te detecteren en te blokkeren.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-7607?

CVE-2025-7607 is een kritieke kwetsbaarheid in de applicatie Simple Shopping Cart die een aanvaller in staat stelt om een SQL-injectie uit te voeren.

Welke systemen zijn kwetsbaar voor CVE-2025-7607?

Systemen waarop Simple Shopping Cart versie 1.0 draait, zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Het wordt aangeraden om de website van de leverancier te controleren voor eventuele patches of updates.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan ongeoorloofde toegang krijgen tot de database, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens in gevaar komen.