Kwetsbaarheid in Metasoft MetaCRM: Onbeperkt uploaden in sendsms.jsp (CVE-2025-7880)

Er is een kritieke beveiligingskwetsbaarheid ontdekt in Metasoft MetaCRM, versies tot en met 6.4.2, specifiek in het bestand /business/common/sms/sendsms.jsp. Dit probleem kan leiden tot onbeperkte uploadmogelijkheden, waardoor een aanvaller bestanden zonder restricties kan uploaden. Dit verhoogt het risico op ongeoorloofde toegang en systeemcompromittering.

De kwetsbaarheid, aangeduid als CVE-2025-7880, laat aanvallers op afstand misbruik maken van de zwakke plek dankzij onvoldoende toegangscontroles en onbeperkte uploadmechanismen (CWE-434, CWE-284). Er zijn al publieke exploits beschikbaar en de leverancier Metasoft 美特软件 is hiervan op de hoogte gesteld, maar heeft nog niet gereageerd.

Overzicht

• Softwareleverancier: Metasoft 美特软件
• Product: MetaCRM
• Kwetsbare versies: 6.4.0, 6.4.1, 6.4.2

Impactanalyse

Het basis CVSS-score is 6.3 (versie 3.1), getuige van een significante dreiging. Deze kwetsbaarheid kan leiden tot uitgelekte, gemanipuleerde of gewiste gegevens en biedt aanvallers een route naar potentieel volledige netwerkcontrole.

Aanbevelingen

• Ontwikkel een beveiligingspatch voor uw systemen in MetaCRM.
• Monitor netwerkverkeer voor verdachte uploadactiviteiten.
• Verhoog toegangscontroles, vooral rondom het bestand sendsms.jsp.

Bronnen

• VDB-316994 | Metasoft 美特软件 MetaCRM sendsms.jsp unrestricted upload
• CTI Indicators (IOB, IOC, TTP, IOA)
• Submit #611336 | Beijing Metasoft Technology Co., Ltd
• Github Exploit Details

Vraag en Antwoord

Wat is CVE-2025-7880?

CVE-2025-7880 betreft een kritieke kwetsbaarheid in MetaCRM die onbeperkte uploadmogelijkheden toestaat in het bestand sendsms.jsp.

Welke systemen zijn kwetsbaar voor CVE-2025-7880?

MetaCRM-versies 6.4.0 tot en met 6.4.2 zijn kwetsbaar voor deze beveiligingsfout.

Bestaat er al een patch of beveiligingsupdate?

Er is momenteel nog geen reactie van de leverancier op de kwetsbaarheid en geen bekende patch beschikbaar.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan onbeperkt bestanden uploaden naar het systeem, waardoor de kans op ongeoorloofde toegang aanzienlijk stijgt.