Plataforma
php
Componente
ask-expert-script
Corrigido em
3.0.6
A vulnerabilidade CVE-2019-25676 é uma falha de SQL Injection presente na versão 3.0.5 do Ask Expert Script. Essa falha permite que atacantes não autenticados injetem código malicioso através da manipulação de parâmetros de URL, comprometendo a segurança do sistema. A correção oficial está pendente, sendo recomendadas medidas de mitigação como firewalls de aplicação web.
Um atacante pode explorar essa vulnerabilidade injetando código SQL malicioso nos parâmetros cateid em categorysearch.php ou no parâmetro view em list-details.php. Isso pode resultar na execução de comandos arbitrários no servidor, permitindo o acesso não autorizado a dados sensíveis armazenados no banco de dados, como informações de usuários, credenciais e dados confidenciais da aplicação. A exploração bem-sucedida pode levar a uma violação completa da confidencialidade, integridade e disponibilidade do sistema, similar a ataques de injeção SQL que comprometem a segurança de bancos de dados em outras aplicações.
A vulnerabilidade foi divulgada em 2026-04-05. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA. A severidade da vulnerabilidade é classificada como ALTA, com um CVSS de 8.2, indicando um risco significativo para os sistemas afetados.
Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• php / web:
grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php• generic web:
curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
Como a correção oficial (versão corrigida) não está disponível, a mitigação imediata envolve a implementação de firewalls de aplicação web (WAF) para filtrar e bloquear solicitações maliciosas contendo código SQL injetado. Além disso, é crucial validar e sanitizar rigorosamente todos os dados de entrada fornecidos pelos usuários, especialmente os parâmetros de URL. Implementar regras de validação de entrada que rejeitem caracteres especiais e padrões suspeitos pode ajudar a prevenir a exploração. Monitore logs de acesso e erro em busca de tentativas de injeção SQL e configure alertas para detectar atividades suspeitas. Considere a implementação de um sistema de detecção de intrusão (IDS) para identificar e responder a ataques em tempo real.
Actualice a una versión corregida del script Ask Expert. Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles. Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25676 is a SQL Injection vulnerability affecting Ask Expert Script versions 3.0.5–3.0.5, allowing attackers to inject malicious SQL code via URL parameters.
If you are using Ask Expert Script version 3.0.5–3.0.5, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Ask Expert Script. If immediate upgrade is not possible, implement input validation and sanitization on vulnerable parameters.
There is no public evidence of CVE-2019-25676 being actively exploited, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the vendor's website or security advisories for the latest information and updates regarding CVE-2019-25676.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.