-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in SysAid On-Prem
Advisory ID : NCSC-2025-0144
Versie : 1.00
Kans : medium
CVE ID : CVE-2025-2775, CVE-2025-2776, CVE-2025-2777,
CVE-2025-2778
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Restriction of XML External Entity Reference
Uitgiftedatum : 20250508
Toepassing : SysAid SysAid On-Prem
Versie(s) :
Platform(s) :
Beschrijving
SysAid heeft kwetsbaarheden verholpen in SysAid On-Prem (Versies tot
23.3.40)
De kwetsbaarheid bevindt zich in de ongeauthenticeerde XML External
Entity (XXE) die aanwezig is in SysAid On-Prem versies tot 23.3.40.
Deze kwetsbaarheid stelt aanvallers in staat om het systeem te
exploiteren zonder authenticatie. Dit kan leiden tot ongeautoriseerde
toegang tot gevoelige bestanden en de mogelijke overname van
administratoraccounts. Onderzoekers hebben Proof-of-Concept-code
(PoC) gepubliceerd, waarmee de kwetsbaarheden kunnen worden
aangetoond.
Mogelijke oplossingen
SysAid heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://documentation.sysaid.com/docs/24-40-60
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=xZow
-----END PGP SIGNATURE-----
