Platform
php
Component
gestsup
Opgelost in
3.2.61
CVE-2026-22194 beschrijft een cross-site request forgery (CSRF) kwetsbaarheid in GestSup, een applicatie voor [vul hier het doel van GestSup in, indien bekend, anders weglaten]. Deze kwetsbaarheid stelt een aanvaller in staat om namens een ingelogde gebruiker acties uit te voeren, mogelijk met verhoogde privileges. De kwetsbaarheid treft versies van GestSup tot en met 3.2.60. Een beveiligde versie is momenteel [beschikbaar/in ontwikkeling - afhankelijk van de situatie].
De CSRF-kwetsbaarheid in GestSup maakt het mogelijk voor een aanvaller om acties uit te voeren alsof ze de ingelogde gebruiker zijn. In het bijzonder kan dit worden misbruikt om bevoorrechte accounts aan te maken door het administratieve gebruikerscreatie-eindpunt te targeten. Dit kan leiden tot ongeautoriseerde toegang tot het systeem en de mogelijkheid om gevoelige gegevens te wijzigen of te verwijderen. De impact is aanzienlijk, omdat een succesvolle exploitatie de beveiliging van de gehele GestSup-installatie kan compromitteren. Een aanvaller kan bijvoorbeeld toegang krijgen tot gevoelige data, configuratiebestanden manipuleren of zelfs de applicatie volledig overnemen.
Er is momenteel geen publieke proof-of-concept (POC) beschikbaar voor deze kwetsbaarheid. De kwetsbaarheid is openbaar gemaakt op 2026-01-09. Het is onduidelijk of deze kwetsbaarheid momenteel actief wordt misbruikt, maar de potentiële impact is aanzienlijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations utilizing GestSup for any purpose are at risk, particularly those with administrative interfaces accessible over the internet. Shared hosting environments where multiple users share the same GestSup instance are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep 'Content-Security-Policy'• generic web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep -i 'csrf-token'disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
Om de CSRF-kwetsbaarheid in GestSup te mitigeren, is het sterk aanbevolen om te upgraden naar een beveiligde versie zodra deze beschikbaar is. Indien een upgrade momenteel niet mogelijk is, kunnen tijdelijke mitigaties worden toegepast. Implementeer CSRF-tokens op alle kritieke acties, zoals het aanmaken van gebruikers. Dit kan worden gedaan door de applicatiecode aan te passen of door een Web Application Firewall (WAF) te gebruiken die CSRF-aanvallen kan detecteren en blokkeren. Controleer de configuratie van de applicatie op mogelijke zwakke plekken en zorg ervoor dat alle gebruikersinvoer wordt gevalideerd en ontsmet.
Werk GestSup bij naar een versie later dan 3.2.60. Dit zal de CSRF-kwetsbaarheid die het maken van geprivilegieerde accounts mogelijk maakt, oplossen. Raadpleeg het changelog op de website van de leverancier voor meer details over de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22194 beschrijft een cross-site request forgery (CSRF) kwetsbaarheid in GestSup versies tot en met 3.2.60, waardoor een aanvaller acties kan uitvoeren namens een ingelogde gebruiker.
Ja, als u een versie van GestSup gebruikt tot en met 3.2.60, bent u getroffen door deze kwetsbaarheid.
Upgrade naar een beveiligde versie van GestSup zodra deze beschikbaar is. Indien dit niet mogelijk is, implementeer CSRF-tokens en/of gebruik een WAF.
Er is momenteel geen bewijs van actieve exploitatie, maar de potentiële impact is aanzienlijk.
Raadpleeg de GestSup-website of de documentatie voor de meest recente informatie en beveiligingsupdates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.