Er is een kritiek beveiligingslek ontdekt in jshERP versie 3.5, aangeduid als CVE-2025-55371. Deze kwetsbaarheid staat niet-geautoriseerde aanvallers toe om toegang te krijgen tot alle informatie van de handler door gebruik te maken van de getAllList methode in de /controller/PersonController.java component. Dit kan leiden tot ongeoorloofde toegang tot gevoelige gegevens en configuraties.
Overzicht
De onjuiste toegangscontrole in jshERP versie 3.5 stelt aanvallers in staat om zich ongeautoriseerd toegang te verschaffen tot gevoelige informatie. De kwetsbaarheid bevindt zich in de functie getAllList, waarbij de beveiligingsmaatregelen niet voldoende worden gehandhaafd.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55371?
Het betreft een exploit in jshERP waar onvoldoende toegangscontrole een aanvaller kan toestaan om zich ongeautoriseerd toegang te verschaffen tot systeemdata.
Welke systemen zijn kwetsbaar voor CVE-2025-55371?
Alle systemen die gebruikmaken van jshERP versie 3.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen informatie over een patch. Controleer regelmatig de officiële jshERP website voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder autorisatie toegang verkrijgen tot gevoelige gegevens binnen het systeem, mogelijk leidend tot datadiefstal of systeemmanipulatie.
