CVE-2019-25523

🟠 Łataj w tym tygodniu

Wstrzyknięcie SQL w XooGallery umożliwia nieautoryzowanym atakującym manipulację zapytaniami do bazy danych.

CVSS

8.2

EPSS

0.1%

Exploit

poc

Vendor

xooscripts

Opis źródłowy (NVD)

XooGallery Latest contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the cat_id parameter. Attackers can send GET requests to cat.php with malicious cat_id values to bypass authentication, extract sensitive data, or modify database contents.

auth-bypass exploit sql-injection Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	8.2
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.1%
Opublikowano (NVD)	2026-03-12 16:16:05 UTC
Ostatnia modyfikacja (NVD)	2026-03-23 13:42:45 UTC

Referencje

https://www.exploit-db.com/exploits/46609 (disclosure@vulncheck.com) [Exploit, VDB Entry]
https://www.vulncheck.com/advisories/xoogallery-lastest-latest-sql-injection-via-cat-php (disclosure@vulncheck.com) [Third Party Advisory]