Platform
php
Component
galette/galette
Opgelost in
1.2.1
CVE-2025-58053 beschrijft een Privilege Escalation kwetsbaarheid in Galette, een webapplicatie voor ledenbeheer. Door een self-forged POST request te versturen bij het updaten van een bestaand account, kan een aanvaller ongeautoriseerde privileges verwerven. Deze kwetsbaarheid treft versies van Galette tot en met 1.2.0. Een fix is beschikbaar in versie 1.2.0.
Deze Privilege Escalation kwetsbaarheid stelt een aanvaller in staat om de controle over een Galette-installatie over te nemen. Door een speciaal vervaardigde POST request te versturen, kan een aanvaller de privileges van een gebruiker verhogen, waardoor toegang tot gevoelige gegevens en functionaliteit mogelijk wordt. Dit kan leiden tot ongeautoriseerde wijzigingen aan ledeninformatie, manipulatie van instellingen en zelfs volledige controle over de applicatie. De impact is aanzienlijk, vooral in omgevingen waar Galette wordt gebruikt voor het beheer van kritieke ledengegevens.
Er is momenteel geen publieke proof-of-concept (POC) beschikbaar voor CVE-2025-58053. De kwetsbaarheid is openbaar gemaakt op 2025-12-19. De kans op actieve exploitatie is op dit moment laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te verminderen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Non-profit organizations utilizing Galette for membership management are at risk. Specifically, deployments with older versions of Galette (≤ 1.2.0) and those lacking robust input validation on account update forms are particularly vulnerable. Shared hosting environments where multiple Galette instances share resources could also experience broader impact if one instance is compromised.
• wordpress / composer / npm:
grep -r 'POST /account/update' /var/www/galette/app/config/routing.php• generic web:
curl -I http://your-galette-instance/account/update | grep HTTP/1.1 200 OKdisclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-58053 is het upgraden van Galette naar versie 1.2.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikersaccounts en het implementeren van strikte toegangscontroles. Controleer de Galette-configuratie op onnodige privileges en zorg ervoor dat alle gebruikersaccounts de minimale benodigde rechten hebben. Na de upgrade, verifieer de fix door te proberen een account te updaten met een self-forged POST request en te controleren of de privileges niet worden verhoogd.
Actualice Galette a la versión 1.2.0 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios. La actualización se puede realizar a través del panel de administración de Galette o descargando la nueva versión del sitio web oficial y reemplazando los archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-58053 is a vulnerability in Galette versions prior to 1.2.0 that allows an attacker to gain higher privileges by forging a POST request during account updates.
You are affected if you are running Galette version 1.2.0 or earlier. Upgrade to version 1.2.0 to mitigate the risk.
Upgrade Galette to version 1.2.0 or later. Implement stricter input validation on account update forms as an interim measure.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Galette project's official security advisories and release notes for details: [https://galette.org/](https://galette.org/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.