Er is een belangrijke kwetsbaarheid ontdekt in het phpgurukul Nipah virus (NiV) Testing Management System versie 1.0. Deze SQL-injectie kwetsbaarheid maakt misbruik van onvoldoende validatie van gebruikersinvoer in het bestand /new-user-testing.php voor de parameter govtissuedid. Aanvallers kunnen via het netwerk zonder gebruikersinteractie toegang verkrijgen tot gevoelige gegevens.
Met een basis CVSS-score van 6.5 wordt deze kwetsbaarheid beoordeeld als medium ernstig. Het ontbreken van noodzakelijke privileges en de lage complexiteit verhogen het risico van misbruik aanzienlijk.
Overzicht
Deze kwetsbaarheid, geïdentificeerd als CVE-2025-51044, maakt gebruik van SQL-injectie technieken (CWE-89) om toegang te krijgen tot het backend-systeem zonder dat daar gebruikersinteractie voor nodig is. Hierdoor kan een aanvaller mogelijk vertrouwelijke gegevens uitlezen of systemen compromiteren.
Aanbevelingen
- Controleer zo snel mogelijk of uw systeem deze kwetsbare versie van het NiV Testing Management System gebruikt.
- Pas inputvalidatie toe om de doorvoer van schadelijke SQL-queries te voorkomen.
- Overweeg het inschakelen van een web application firewall (WAF) om inkomend verkeer te filteren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-51044?
Dit is een specifieke kwetsbaarheid in het NiV Testing Management System, waarbij onveilige SQL-injecties gebruikt worden om het systeem te compromitteren.
Welke systemen zijn kwetsbaar voor CVE-2025-51044?
Alle systemen die gebruik maken van de versie 1.0 van het phpgurukul NiV Testing Management System.
Bestaat er al een patch of beveiligingsupdate?
Momenteel zijn er geen officiële patches aangekondigd. Het is noodzakelijk om eigen mitigerende maatregelen te nemen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang krijgen tot vertrouwelijke gegevens en deze gegevens manipuleren of gebruiken voor vervolg-aanvallen.
