Een kritiek lek, aangeduid als CVE-2025-53639, is ontdekt in Metersphere, waarbij een SQL-injectie mogelijk is in het sorteerveld van bepaalde API-eindpunten. Dit probleem kan leiden tot het ongeautoriseerd manipuleren van database inhoud, wat mogelijk de integriteit en beschikbaarheid van de gehele applicatiedatabase in gevaar brengt.
Overzicht
Metersphere, een open-source platform voor continue testen, heeft een kwetsbaarheid in zijn API-eindpunten ontdekt. Voor versie 3.6.5-lts wordt de parameter sortField niet goed gevalideerd of gesaneerd, waardoor aanvallers eigen SQL-instructies kunnen injecteren en uitvoeren. Dit kan ertoe leiden dat database inhoud gewijzigd of verwijderd wordt.
Aanbevelingen
- Update naar versie 3.6.5-lts of nieuwer om de kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53639?
CVE-2025-53639 is een SQL-injectie kwetsbaarheid ontdekt in Metersphere, waarbij aanvallers door een onbeveiligd sorteerveld toegang kunnen krijgen tot en wijzigingen kunnen maken in de database.
Welke systemen zijn kwetsbaar voor CVE-2025-53639?
Metersphere versies ouder dan 3.6.5-lts zijn kwetsbaar voor deze SQL-injectie.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.6.5-lts bevat een patch die dit probleem oplost. Gebruikers worden geadviseerd zo snel mogelijk te updaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de integriteit en beschikbaarheid van de database van de applicatie compromitteren door database inhoud te manipuleren of te verwijderen.
