Platform
php
Component
innoshop
Opgelost in
0.4.2
CVE-2025-52922 beschrijft een Directory Traversal kwetsbaarheid in InnoShop, een PHP applicatie. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om het bestandssysteem van de server te benaderen en te manipuleren. De kwetsbaarheid treft versies 0 tot en met 0.4.1 van InnoShop en is opgelost in versie 0.4.2.
Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan het volledige bestandssysteem in kaart brengen, gevoelige bestanden lezen (zoals configuratiebestanden met database credentials), willekeurige directories aanmaken en zelfs bestanden verwijderen. Dit kan resulteren in een compromittering van de gehele server en de data die erop is opgeslagen. De mogelijkheid om bestanden te kopiëren naar een leesbare locatie maakt het mogelijk om gevoelige informatie te extraheren zonder directe toegang tot de server. De kwetsbaarheid vereist authenticatie, maar eenmaal binnen kan de impact aanzienlijk zijn.
Op dit moment is er geen publieke exploitatie van CVE-2025-52922 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-06-23. De CVSS score van 7.4 (HIGH) duidt op een potentieel significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Het is aannemelijk dat deze kwetsbaarheid in de toekomst actief zal worden geëxploiteerd, gezien de relatieve eenvoud van de exploitatie.
Organizations using InnoShop for e-commerce or online store management are at risk, particularly those running versions 0 through 0.4.1. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised admin account on one store could potentially be used to exploit this vulnerability on other stores.
• php: Examine web server access logs for requests to /api/filemanager endpoints containing ../ sequences in the basefolder or other parameters.
grep 'api/file_manager.*\/\/\/' /var/log/apache2/access.log• php: Check for unusual file creations or deletions within the InnoShop application directory.
find /var/www/innoshop -type f -ctime -1• generic web: Monitor for unexpected file reads or modifications within the InnoShop application directory. • generic web: Review the application's configuration files for any insecure file paths or permissions.
disclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-52922 is het updaten naar versie 0.4.2 van InnoShop. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de FileManager API endpoints via een Web Application Firewall (WAF) of proxy. Configureer de WAF om requests met directory traversal patronen (zoals .. in de base_folder parameter) te blokkeren. Controleer de configuratie van InnoShop om te zorgen voor minimale privileges voor de gebruiker die de applicatie uitvoert. Na de upgrade, bevestig de correcte werking door te proberen de FileManager API endpoints te gebruiken met kwaadaardige parameters en te verifiëren dat de toegang wordt geweigerd.
Actualice InnoShop a una versión posterior a 0.4.1 que corrija la vulnerabilidad de path traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el componente FileManager hasta que se publique una solución. Revise y valide las configuraciones de seguridad del servidor web para mitigar el riesgo de acceso no autorizado al sistema de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-52922 is a HIGH severity vulnerability allowing authenticated admins in InnoShop versions 0-0.4.1 to traverse directories and access sensitive files.
You are affected if you are using InnoShop versions 0 through 0.4.1 and have not upgraded to version 0.4.2 or later.
Upgrade InnoShop to version 0.4.2 or later. As a temporary workaround, restrict access to the /api/file_manager endpoints and implement input validation.
Currently, there are no known public exploits or active campaigns targeting CVE-2025-52922, but the ease of exploitation warrants immediate attention.
Refer to the InnoShop project's official website or repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.