Web Ofisi Emlak V2 Inyección SQL (SQL Injection) vía emlak-ara.html
Plataforma
php
Componente
web-ofisi-emlak
Corregido en
2.0.1
CVE-2019-25459 describe múltiples vulnerabilidades de inyección SQL presentes en Web Ofisi Emlak V2. Estas vulnerabilidades permiten a atacantes no autenticados manipular consultas de base de datos a través de parámetros GET, comprometiendo la integridad y confidencialidad de la información. Las versiones afectadas son 2.0.0–V2; la solución recomendada es actualizar a la versión 2.5.4.
Impacto y Escenarios de Ataque
Un atacante puede explotar estas vulnerabilidades de inyección SQL para extraer información sensible de la base de datos, como nombres de usuario, contraseñas, datos de clientes o información financiera. La manipulación de las consultas SQL también podría permitir a un atacante modificar o eliminar datos, comprometiendo la integridad del sistema. El ataque se realiza a través de la inyección de código SQL malicioso en parámetros como emlakdurumu, emlaktipi, il, ilce, kelime y semt. Este tipo de vulnerabilidad es similar a otros ataques de inyección SQL que han afectado a numerosas aplicaciones web, permitiendo el acceso no autorizado a datos críticos.
Contexto de Explotación
Este CVE fue publicado el 22 de febrero de 2026. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de un exploit público. La probabilidad de explotación se considera baja debido a la falta de información sobre campañas activas y la relativa antigüedad de la vulnerabilidad, aunque la severidad crítica indica un riesgo significativo si no se mitiga.
Quién Está en Riesgotraduciendo…
Organizations utilizing Web Ofisi Emlak V2 (2.0.0–V2) for real estate management are at significant risk. This includes small to medium-sized businesses relying on the system for property listings, client management, and financial tracking. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to lateral movement and compromise other users’ data.
Pasos de Deteccióntraduciendo…
• php: Examine web server access logs for requests containing suspicious SQL syntax in GET parameters (e.g., emlak_durumu=1' OR '1'='1).
• php: Review the source code of Web Ofisi Emlak, specifically the endpoint handling GET parameters, for unescaped user input used in SQL queries.
• generic web: Use curl to test the vulnerable endpoints with various SQL injection payloads:
curl 'http://your-web-ofisi-instance/index.php?emlak_durumu=1' OR '1'='1'• generic web: Monitor error logs for database-related errors that might indicate a SQL injection attempt.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar Web Ofisi Emlak V2 a la versión 2.5.4, que incluye las correcciones necesarias para estas vulnerabilidades. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que contienen código SQL inyectado. Además, se deben revisar y validar todas las entradas de usuario para prevenir la inyección de código. Después de la actualización, confirme la mitigación revisando los registros de acceso y buscando intentos de inyección SQL.
Cómo corregirlo
Actualice el script Emlak a la versión 2.5.4 o superior para mitigar la vulnerabilidad de inyección SQL. Asegúrese de aplicar las últimas actualizaciones de seguridad proporcionadas por Web-ofisi para proteger su aplicación contra posibles ataques. Revise y sanee la entrada del usuario en los parámetros GET para evitar la inyección de código SQL.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2019-25459 — SQL Injection in Web Ofisi Emlak?
CVE-2019-25459 is a critical SQL injection vulnerability in Web Ofisi Emlak V2 (2.0.0–V2) allowing attackers to manipulate database queries via GET parameters.
Am I affected by CVE-2019-25459 in Web Ofisi Emlak?
If you are using Web Ofisi Emlak V2 (2.0.0–V2), you are potentially affected and should upgrade immediately.
How do I fix CVE-2019-25459 in Web Ofisi Emlak?
Upgrade to version 2.5.4 or later. Implement input validation and consider using a WAF as an interim measure.
Is CVE-2019-25459 being actively exploited?
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority risk.
Where can I find the official Web Ofisi advisory for CVE-2019-25459?
Refer to the Web Ofisi security advisories for the latest information and updates regarding CVE-2019-25459.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.