Plataforma
php
Componente
web-ofisi-emlak
Corregido en
2.0.1
CVE-2019-25459 describe múltiples vulnerabilidades de inyección SQL presentes en Web Ofisi Emlak V2. Estas vulnerabilidades permiten a atacantes no autenticados manipular consultas de base de datos a través de parámetros GET, comprometiendo la integridad y confidencialidad de la información. Las versiones afectadas son 2.0.0–V2; la solución recomendada es actualizar a la versión 2.5.4.
Un atacante puede explotar estas vulnerabilidades de inyección SQL para extraer información sensible de la base de datos, como nombres de usuario, contraseñas, datos de clientes o información financiera. La manipulación de las consultas SQL también podría permitir a un atacante modificar o eliminar datos, comprometiendo la integridad del sistema. El ataque se realiza a través de la inyección de código SQL malicioso en parámetros como emlakdurumu, emlaktipi, il, ilce, kelime y semt. Este tipo de vulnerabilidad es similar a otros ataques de inyección SQL que han afectado a numerosas aplicaciones web, permitiendo el acceso no autorizado a datos críticos.
Este CVE fue publicado el 22 de febrero de 2026. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de un exploit público. La probabilidad de explotación se considera baja debido a la falta de información sobre campañas activas y la relativa antigüedad de la vulnerabilidad, aunque la severidad crítica indica un riesgo significativo si no se mitiga.
Organizations utilizing Web Ofisi Emlak V2 (2.0.0–V2) for real estate management are at significant risk. This includes small to medium-sized businesses relying on the system for property listings, client management, and financial tracking. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to lateral movement and compromise other users’ data.
• php: Examine web server access logs for requests containing suspicious SQL syntax in GET parameters (e.g., emlak_durumu=1' OR '1'='1).
• php: Review the source code of Web Ofisi Emlak, specifically the endpoint handling GET parameters, for unescaped user input used in SQL queries.
• generic web: Use curl to test the vulnerable endpoints with various SQL injection payloads:
curl 'http://your-web-ofisi-instance/index.php?emlak_durumu=1' OR '1'='1'• generic web: Monitor error logs for database-related errors that might indicate a SQL injection attempt.
disclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Web Ofisi Emlak V2 a la versión 2.5.4, que incluye las correcciones necesarias para estas vulnerabilidades. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas que contienen código SQL inyectado. Además, se deben revisar y validar todas las entradas de usuario para prevenir la inyección de código. Después de la actualización, confirme la mitigación revisando los registros de acceso y buscando intentos de inyección SQL.
Actualice el script Emlak a la versión 2.5.4 o superior para mitigar la vulnerabilidad de inyección SQL. Asegúrese de aplicar las últimas actualizaciones de seguridad proporcionadas por Web-ofisi para proteger su aplicación contra posibles ataques. Revise y sanee la entrada del usuario en los parámetros GET para evitar la inyección de código SQL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25459 is a critical SQL injection vulnerability in Web Ofisi Emlak V2 (2.0.0–V2) allowing attackers to manipulate database queries via GET parameters.
If you are using Web Ofisi Emlak V2 (2.0.0–V2), you are potentially affected and should upgrade immediately.
Upgrade to version 2.5.4 or later. Implement input validation and consider using a WAF as an interim measure.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority risk.
Refer to the Web Ofisi security advisories for the latest information and updates regarding CVE-2019-25459.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.