HIGHCVE-2019-25676CVSS 8.2

Ask Expert Script 3.0.5 跨站脚本 (Cross Site Scripting) 和 SQL 注入 (SQL Injection)

平台

php

组件

ask-expert-script

修复版本

3.0.6

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-25676 是 Ask Expert Script 3.0.5 中的一个严重 SQL 注入漏洞。攻击者可以利用此漏洞通过 URL 参数操纵，在 categorysearch.php 或 list-details.php 文件中注入恶意 SQL 代码，从而执行任意代码或窃取数据库信息。该漏洞影响 Ask Expert Script 3.0.5 版本，建议尽快采取补救措施。

影响与攻击场景

该 SQL 注入漏洞允许未经身份验证的攻击者通过 URL 参数注入恶意代码。在 categorysearch.php 文件中，攻击者可以通过操纵 cateid 参数注入恶意脚本标签，从而执行跨站脚本攻击 (XSS)。在 list-details.php 文件中，攻击者可以通过操纵 view 参数注入 SQL 代码，从而执行任意 SQL 命令，例如读取、修改或删除数据库中的数据。攻击者还可以利用此漏洞获取敏感信息，例如用户凭据、财务数据或商业机密。如果攻击者能够成功利用此漏洞，可能会导致数据泄露、系统损坏或未经授权的访问。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。由于其严重性和易于利用性，该漏洞可能成为攻击者的目标。目前尚无已知的活跃利用活动，但建议尽快采取补救措施，以降低风险。该漏洞已发布于 2026-04-05。

哪些人处于风险中翻译中…

Websites and applications utilizing the Ask Expert Script version 3.0.5 are at risk. This includes smaller businesses and organizations that may rely on this script for customer support or product information display. Shared hosting environments where multiple websites share the same server instance are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.

检测步骤翻译中…

• php / web:

grep -r "cateid=.*?;" /var/www/html/categorysearch.php
grep -r "view=.*?;" /var/www/html/list-details.php

• generic web:

curl -I 'http://your-site.com/categorysearch.php?cateid=';
curl -I 'http://your-site.com/list-details.php?view=';

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.13% (32% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件ask-expert-script

供应商Phpscriptsmall

影响范围修复版本

3.0.5 – 3.0.53.0.6

弱点分类 (CWE)

CWE-79

时间线

已保留2026-04-05
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-13

未修复 — 披露已49天

缓解措施和替代方案

为了缓解 CVE-2019-25676 漏洞，建议立即升级到修复后的版本。如果无法立即升级，可以考虑以下缓解措施：首先，对所有输入进行严格的输入验证和过滤，以防止恶意代码注入。其次，使用参数化查询或预处理语句，以防止 SQL 注入攻击。第三，限制数据库用户的权限，只授予其执行所需操作的最低权限。最后，实施 Web 应用防火墙 (WAF)，以检测和阻止恶意请求。升级后，请验证漏洞是否已成功修复，例如通过尝试注入恶意 SQL 代码。

修复方法翻译中…

Actualice a una versión corregida del script Ask Expert.  Verifique el sitio web del proveedor o los foros de soporte para obtener información sobre las actualizaciones disponibles.  Como no se proporciona una versión corregida, considere deshabilitar o eliminar el script hasta que se publique una actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2019-25676 — SQL 注入漏洞在 Ask Expert Script 中？

CVE-2019-25676 是 Ask Expert Script 3.0.5 中发现的 SQL 注入漏洞，攻击者可以通过 URL 参数操纵来执行恶意代码。

我是否受到 CVE-2019-25676 在 Ask Expert Script 中影响？

如果您正在使用 Ask Expert Script 3.0.5 版本，则可能受到此漏洞的影响。请立即检查并采取补救措施。

我如何修复 CVE-2019-25676 在 Ask Expert Script 中？

建议立即升级到修复后的版本。如果无法升级，请实施输入验证、参数化查询和限制数据库用户权限等缓解措施。

CVE-2019-25676 是否正在被积极利用？

虽然目前尚无已知的活跃利用活动，但由于其严重性和易于利用性，该漏洞可能成为攻击者的目标。

在哪里可以找到 Ask Expert Script 官方关于 CVE-2019-25676 的公告？

请查阅 Ask Expert Script 官方网站或相关安全公告，以获取有关此漏洞的更多信息和补救建议。