WebITR van Uniong heeft een kritieke kwetsbaarheid (CVE-2025-9259) die het mogelijk maakt voor externe aanvallers met reguliere privileges om Absolute Path Traversal te gebruiken. Hierdoor kunnen zij willekeurige systeembestanden downloaden, wat ernstige gevolgen kan hebben voor de beveiliging van systemen die deze software draaien.
Het risico is aanzienlijk omdat een aanvaller zonder fysieke toegang toch van afstand toegang kan krijgen tot gevoelige bestanden, zonder tussenkomst van een gebruiker en met slechts lage privilegevereisten.
Overzicht
Deze kwetsbaarheid, bekend als Absolute Path Traversal (CWE-36), treft versies van WebITR tot en met 2_1_0_32 en wordt geclassificeerd met een hoge CVSS-score van 7.1 in versie 4.0. De aanval is via een netwerk mogelijk, met lage complexiteit en zonder dat gebruikersinteractie vereist is.
Aanbevelingen
- Controleer uw systemen op de aanwezigheid van WebITR versies tot en met 2_1_0_32.
- Overweeg onmiddellijk te updaten naar een veiligere versie of neem contact op met de leverancier voor beveiligingspatches.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9259?
Het is een kwetsbaarheid in WebITR van Uniong die aanvallers in staat stelt om via Absolute Path Traversal toegang te krijgen tot willekeurige systeembestanden.
Welke systemen zijn kwetsbaar voor CVE-2025-9259?
Alle systemen die gebruikmaken van WebITR versie 2_1_0_32 of lager kunnen kwetsbaar zijn voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen specifieke patch gedeeld; contact met de leverancier wordt aanbevolen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige bestanden van uw systeem downloaden en mogelijk toegang krijgen tot vertrouwelijke informatie zonder toestemming.
