Plataforma
php
Componente
resourcespace
Corregido en
8.6.1
CVE-2019-25693 describe una vulnerabilidad de inyección SQL presente en ResourceSpace versión 8.6. Esta falla permite a atacantes autenticados ejecutar consultas SQL arbitrarias, comprometiendo la integridad y confidencialidad de la base de datos. La explotación exitosa puede resultar en la divulgación de información sensible, incluyendo nombres de esquema y credenciales de usuario. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La inyección SQL en ResourceSpace 8.6 permite a un atacante autenticado manipular consultas SQL, obteniendo acceso no autorizado a la base de datos. Un atacante podría extraer información sensible como nombres de tablas, columnas, usuarios y contraseñas almacenadas. Además, podrían modificar o eliminar datos, comprometiendo la integridad de la aplicación. La capacidad de ejecutar comandos arbitrarios en la base de datos amplía el alcance del ataque, permitiendo potencialmente la ejecución de código malicioso en el servidor. Este tipo de vulnerabilidad es similar a otras explotaciones de inyección SQL que han resultado en robo de datos a gran escala y denegación de servicio.
CVE-2019-25693 fue publicado el 2026-04-12. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. La probabilidad de explotación se considera baja, pero la vulnerabilidad sigue siendo un riesgo potencial, especialmente en sistemas no parcheados. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Organizations using ResourceSpace 8.6, particularly those with sensitive data stored in their databases, are at risk. Environments with weak password policies or compromised user accounts are especially vulnerable, as an attacker could leverage these credentials to exploit the SQL injection flaw.
• php / server:
grep -r 'keywords parameter in collection_edit.php' /var/www/html/• generic web:
curl -X POST -d "keywords='; DROP TABLE users;--" http://your-resourcespace-instance/collection_edit.php | grep -i 'error in your query'disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2019-25693 es actualizar ResourceSpace a una versión corregida que solucione la vulnerabilidad de inyección SQL. Si la actualización no es inmediatamente posible, se recomienda implementar validación estricta de la entrada del usuario en el parámetro 'keywords' de collection_edit.php. Utilice funciones de escape SQL apropiadas para evitar la interpretación de caracteres especiales como código SQL. Además, considere la implementación de una Web Application Firewall (WAF) con reglas que detecten y bloqueen patrones de inyección SQL comunes. Revise los registros de acceso y error en busca de intentos de inyección SQL.
Actualice ResourceSpace a una versión corregida. Consulte la documentación oficial de ResourceSpace o su sitio web para obtener instrucciones específicas sobre cómo actualizar y aplicar los parches de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25693 is a SQL injection vulnerability in ResourceSpace 8.6 that allows authenticated attackers to execute SQL queries through the keywords parameter, potentially exposing sensitive data.
If you are running ResourceSpace version 8.6 and have not applied a patch, you are potentially affected by this vulnerability. Authentication is required to exploit it.
Upgrade ResourceSpace to a patched version that addresses the SQL injection vulnerability. Input validation and WAF rules can provide temporary mitigation.
There is currently no widespread evidence of active exploitation of CVE-2019-25693, but it remains a significant risk.
Refer to the ResourceSpace security advisories page for the latest information and updates regarding CVE-2019-25693.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.