Plataforma
php
Componente
ask-expert-script
Corregido en
3.0.6
La vulnerabilidad CVE-2019-25676 es una inyección SQL presente en el script Ask Expert Script versiones 3.0.5. Esta falla permite a atacantes no autenticados inyectar código malicioso a través de la manipulación de parámetros de URL, comprometiendo la integridad de la base de datos y potencialmente permitiendo la ejecución de código arbitrario. La vulnerabilidad fue publicada el 5 de abril de 2026 y se recomienda actualizar a una versión corregida o aplicar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad inyectando código SQL malicioso a través de los parámetros cateid en categorysearch.php o el parámetro view en list-details.php. Esto podría permitir la extracción de información sensible de la base de datos, como credenciales de usuario, datos personales o información confidencial del negocio. En el peor de los casos, un atacante podría ejecutar comandos arbitrarios en el servidor, comprometiendo completamente la aplicación y el sistema subyacente. La inyección SQL es una vulnerabilidad ampliamente explotada, y la falta de autenticación necesaria para explotarla aumenta significativamente el riesgo.
La vulnerabilidad CVE-2019-25676 se publicó el 5 de abril de 2026. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza de la inyección SQL y la falta de autenticación necesaria la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear los sistemas afectados en busca de signos de compromiso. La vulnerabilidad podría ser incluida en catálogos de amenazas como KEV si se confirma su explotación activa.
Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• php / web:
grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php• generic web:
curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida de Ask Expert Script que solucione esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento rigurosos de todas las entradas de usuario, el uso de consultas parametrizadas o procedimientos almacenados para evitar la inyección SQL, y la implementación de un firewall de aplicaciones web (WAF) que pueda detectar y bloquear intentos de inyección SQL. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos, incluyendo el principio de mínimo privilegio para las cuentas de usuario de la aplicación.
Actualice a una versión corregida del script Ask Expert. Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles. Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25676 is a SQL Injection vulnerability affecting Ask Expert Script versions 3.0.5–3.0.5, allowing attackers to inject malicious SQL code via URL parameters.
If you are using Ask Expert Script version 3.0.5–3.0.5, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Ask Expert Script. If immediate upgrade is not possible, implement input validation and sanitization on vulnerable parameters.
There is no public evidence of CVE-2019-25676 being actively exploited, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the vendor's website or security advisories for the latest information and updates regarding CVE-2019-25676.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.