Plateforme
php
Composant
ask-expert-script
Corrigé dans
3.0.6
La vulnérabilité CVE-2019-25676 est une injection SQL détectée dans Ask Expert Script, version 3.0.5. Cette faille permet à des attaquants non authentifiés d'injecter du code malveillant en manipulant les paramètres d'URL, compromettant potentiellement la sécurité des données et du système. La vulnérabilité affecte spécifiquement la version 3.0.5 et une correction est disponible.
Un attaquant peut exploiter cette vulnérabilité pour exécuter du code SQL arbitraire sur le serveur. En manipulant les paramètres cateid dans categorysearch.php (pour l'injection de script) ou le paramètre view dans list-details.php (pour l'injection SQL), il est possible d'injecter des balises script malveillantes ou du code SQL. Cela peut conduire au vol d'informations sensibles stockées dans la base de données, à la modification de données, ou même à la prise de contrôle complète du serveur. Le risque est aggravé par le fait que l'authentification n'est pas requise pour exploiter cette faille, ce qui la rend accessible à un large éventail d'attaquants.
La vulnérabilité CVE-2019-25676 a été rendue publique le 2026-04-05. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour. Des preuves d'exploitation publique (PoC) sont disponibles, ce qui augmente le risque d'exploitation active. Il est donc crucial de prendre des mesures de mitigation rapidement.
Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• php / web:
grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php• generic web:
curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Ask Expert Script vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. L'implémentation de règles de pare-feu applicatif (WAF) pour filtrer les requêtes malveillantes ciblant les paramètres cateid et view peut aider à bloquer les tentatives d'exploitation. De plus, une validation stricte des entrées utilisateur et l'utilisation de requêtes paramétrées peuvent réduire le risque d'injection SQL. Après la mise à jour, vérifiez l'intégrité du système en effectuant des tests de pénétration ciblés sur les points d'entrée vulnérables.
Actualice a una versión corregida del script Ask Expert. Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles. Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25676 is a SQL Injection vulnerability affecting Ask Expert Script versions 3.0.5–3.0.5, allowing attackers to inject malicious SQL code via URL parameters.
If you are using Ask Expert Script version 3.0.5–3.0.5, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Ask Expert Script. If immediate upgrade is not possible, implement input validation and sanitization on vulnerable parameters.
There is no public evidence of CVE-2019-25676 being actively exploited, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the vendor's website or security advisories for the latest information and updates regarding CVE-2019-25676.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.