Plateforme
php
Composant
resourcespace
Corrigé dans
8.6.1
Une vulnérabilité d'injection SQL a été découverte dans ResourceSpace version 8.6. Cette faille permet à des attaquants authentifiés d'exécuter des requêtes SQL arbitraires, compromettant potentiellement l'intégrité et la confidentialité des données. La vulnérabilité se trouve dans le fichier collection_edit.php, où l'injection malveillante peut être introduite via le paramètre 'keywords'.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'extraire des informations sensibles de la base de données ResourceSpace. Cela inclut potentiellement les noms de schémas, les informations d'identification des utilisateurs et d'autres données confidentielles. Un attaquant pourrait également modifier ou supprimer des données, compromettant ainsi la fonctionnalité et la fiabilité du système. La nature de l'injection SQL permet une manipulation directe des requêtes SQL, offrant un contrôle significatif sur la base de données.
La vulnérabilité CVE-2019-25693 a été publiée le 2026-04-12. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification préalable et de la complexité potentielle de la création d'un payload d'injection SQL efficace.
Organizations using ResourceSpace 8.6, particularly those with sensitive data stored in their databases, are at risk. Environments with weak password policies or compromised user accounts are especially vulnerable, as an attacker could leverage these credentials to exploit the SQL injection flaw.
• php / server:
grep -r 'keywords parameter in collection_edit.php' /var/www/html/• generic web:
curl -X POST -d "keywords='; DROP TABLE users;--" http://your-resourcespace-instance/collection_edit.php | grep -i 'error in your query'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour ResourceSpace vers une version corrigée dès que possible. En attendant la mise à jour, il est possible d'appliquer des mesures d'atténuation telles que la validation stricte de toutes les entrées utilisateur, en particulier le paramètre 'keywords' dans collection_edit.php. L'utilisation d'une Web Application Firewall (WAF) configuré pour bloquer les injections SQL peut également aider à atténuer le risque. Après la mise à jour, vérifiez l'intégrité des données et assurez-vous que les paramètres de sécurité sont correctement configurés.
Mettez à jour ResourceSpace vers une version corrigée. Consultez la documentation officielle de ResourceSpace ou son site web pour obtenir des instructions spécifiques sur la façon de mettre à jour et d'appliquer les correctifs de sécurité.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25693 is a SQL injection vulnerability in ResourceSpace 8.6 that allows authenticated attackers to execute SQL queries through the keywords parameter, potentially exposing sensitive data.
If you are running ResourceSpace version 8.6 and have not applied a patch, you are potentially affected by this vulnerability. Authentication is required to exploit it.
Upgrade ResourceSpace to a patched version that addresses the SQL injection vulnerability. Input validation and WAF rules can provide temporary mitigation.
There is currently no widespread evidence of active exploitation of CVE-2019-25693, but it remains a significant risk.
Refer to the ResourceSpace security advisories page for the latest information and updates regarding CVE-2019-25693.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.