CVE-2019-25524
🟠 Łataj w tym tygodniu
Wstrzyknięcie SQL w XooGallery umożliwia nieautoryzowanym atakującym manipulację zapytaniami do bazy danych.
CVSS
8.2
EPSS
0.2%
Exploit
poc
Vendor
xooscripts
Opis źródłowy (NVD)
XooGallery Latest contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'p' parameter. Attackers can send GET requests to results.php with malicious 'p' values to bypass authentication, extract sensitive data, or modify database contents.
auth-bypass exploit sql-injection
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2026-03-12 16:16:05 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-23 13:39:49 UTC |
Referencje
- https://www.exploit-db.com/exploits/46609 (disclosure@vulncheck.com) [Exploit, VDB Entry]
- https://www.vulncheck.com/advisories/xoogallery-lastest-latest-sql-injection-via-results-php (disclosure@vulncheck.com) [Third Party Advisory]