Plataforma
php
Componente
resourcespace
Corrigido em
8.6.1
Uma vulnerabilidade de SQL Injection foi descoberta no ResourceSpace versão 8.6. Atacantes autenticados podem explorar essa falha para executar consultas SQL arbitrárias, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade reside no parâmetro 'keywords' do arquivo collection_edit.php. A correção oficial está pendente, sendo recomendadas medidas de mitigação temporárias.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado acesse e manipule dados no banco de dados do ResourceSpace. Isso inclui a extração de informações confidenciais, como nomes de esquema, credenciais de usuário e outros dados sensíveis. Um atacante pode usar essa informação para obter acesso não autorizado ao sistema, comprometer a integridade dos dados ou até mesmo assumir o controle do servidor. A ausência de validação adequada da entrada do usuário no parâmetro 'keywords' torna possível a injeção de código SQL malicioso.
A vulnerabilidade foi divulgada em 2026-04-12. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um patch oficial e a natureza crítica da vulnerabilidade (SQL Injection) a tornam um alvo potencial para exploração futura.
Organizations using ResourceSpace 8.6, particularly those with sensitive data stored in their databases, are at risk. Environments with weak password policies or compromised user accounts are especially vulnerable, as an attacker could leverage these credentials to exploit the SQL injection flaw.
• php / server:
grep -r 'keywords parameter in collection_edit.php' /var/www/html/• generic web:
curl -X POST -d "keywords='; DROP TABLE users;--" http://your-resourcespace-instance/collection_edit.php | grep -i 'error in your query'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve a implementação de firewalls de aplicação web (WAF) configurados para detectar e bloquear tentativas de injeção SQL no parâmetro 'keywords' do arquivo collection_edit.php. Além disso, é crucial restringir o acesso ao banco de dados apenas a usuários e aplicações autorizadas. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso não autorizado ou consultas SQL incomuns. Implementar validação de entrada robusta e escaping de saída pode ajudar a prevenir futuras vulnerabilidades de SQL Injection.
Atualize ResourceSpace para uma versão corrigida. Consulte a documentação oficial de ResourceSpace ou seu site para obter instruções específicas sobre como atualizar e aplicar os patches de segurança.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25693 is a SQL injection vulnerability in ResourceSpace 8.6 that allows authenticated attackers to execute SQL queries through the keywords parameter, potentially exposing sensitive data.
If you are running ResourceSpace version 8.6 and have not applied a patch, you are potentially affected by this vulnerability. Authentication is required to exploit it.
Upgrade ResourceSpace to a patched version that addresses the SQL injection vulnerability. Input validation and WAF rules can provide temporary mitigation.
There is currently no widespread evidence of active exploitation of CVE-2019-25693, but it remains a significant risk.
Refer to the ResourceSpace security advisories page for the latest information and updates regarding CVE-2019-25693.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.