Plataforma
php
Componente
web-ofisi-emlak
Corrigido em
2.0.1
A vulnerabilidade CVE-2019-25459 é uma falha de injeção de SQL presente no Web Ofisi Emlak V2, afetando versões entre 2.0.0 e V2. Atacantes não autenticados podem explorar essa falha para manipular consultas ao banco de dados, potencialmente expondo informações confidenciais. A correção para esta vulnerabilidade está disponível na versão 2.5.4.
Esta vulnerabilidade de injeção de SQL permite que atacantes não autenticados injetem código SQL malicioso através de parâmetros GET como emlakdurumu, emlaktipi, il, ilce, kelime e semt. Com sucesso, um atacante pode extrair dados sensíveis do banco de dados, como informações de usuários, dados de propriedades e outras informações confidenciais. Além disso, a injeção de SQL pode ser utilizada para realizar ataques de tempo-baseados (time-based blind SQL injection), permitindo que o atacante obtenha informações mesmo sem acesso direto aos resultados das consultas. A exploração bem-sucedida pode levar à exfiltração completa do banco de dados e comprometimento do sistema.
A vulnerabilidade foi divulgada publicamente em 2026-02-22. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento. A ausência de um Proof of Concept (PoC) publicamente disponível pode indicar um nível de risco menor, mas a severidade crítica do CVSS (9.8) justifica a aplicação imediata das medidas de mitigação.
Organizations utilizing Web Ofisi Emlak V2 (2.0.0–V2) for real estate management are at significant risk. This includes small to medium-sized businesses relying on the system for property listings, client management, and financial tracking. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to lateral movement and compromise other users’ data.
• php: Examine web server access logs for requests containing suspicious SQL syntax in GET parameters (e.g., emlak_durumu=1' OR '1'='1).
• php: Review the source code of Web Ofisi Emlak, specifically the endpoint handling GET parameters, for unescaped user input used in SQL queries.
• generic web: Use curl to test the vulnerable endpoints with various SQL injection payloads:
curl 'http://your-web-ofisi-instance/index.php?emlak_durumu=1' OR '1'='1'• generic web: Monitor error logs for database-related errors that might indicate a SQL injection attempt.
disclosure
Status do Exploit
EPSS
0.11% (percentil 30%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2019-25459 é a atualização para a versão 2.5.4 do Web Ofisi Emlak. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Implemente regras de firewall ou proxy para bloquear solicitações HTTP com parâmetros suspeitos nos endpoints vulneráveis. Valide e sanitize rigorosamente todos os dados de entrada do usuário para evitar a injeção de código SQL. Monitore os logs do servidor em busca de padrões de ataque de injeção de SQL, como consultas SQL incomuns ou erros relacionados ao banco de dados.
Atualize o script Emlak para a versão 2.5.4 ou superior para mitigar a vulnerabilidade de injeção SQL (SQL Injection). Certifique-se de aplicar as últimas atualizações de segurança fornecidas por Web-ofisi para proteger sua aplicação contra possíveis ataques. Revise e sanitize a entrada do usuário nos parâmetros GET para evitar a injeção de código SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25459 is a critical SQL injection vulnerability in Web Ofisi Emlak V2 (2.0.0–V2) allowing attackers to manipulate database queries via GET parameters.
If you are using Web Ofisi Emlak V2 (2.0.0–V2), you are potentially affected and should upgrade immediately.
Upgrade to version 2.5.4 or later. Implement input validation and consider using a WAF as an interim measure.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a high-priority risk.
Refer to the Web Ofisi security advisories for the latest information and updates regarding CVE-2019-25459.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.