Vulnerabilities ›

CVE-2018-25394

High

CWE-89 — Weakness Type

                    Published: May 29, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

8.2

🔗 NVD Official

📄 Description (English)

Kados R10 GreenBee contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the release_id parameter of boards_buttons/update_release.php. The release_id value is concatenated directly into SQL statements without sanitization, allowing attackers to send a crafted GET request with a UNION-based payload to extract sensitive database information including the current user, database name, and DBMS version.

🤖 AI Executive Summary

Kados R10 GreenBee contains an unauthenticated SQL injection vulnerability in the boards_buttons/update_release.php endpoint via the release_id parameter. Attackers can execute arbitrary SQL queries and extract sensitive database information without authentication.

📄 Description (Arabic)

ثغرة حقن SQL في تطبيق Kados R10 GreenBee تسمح للمهاجمين غير المصرح لهم بتنفيذ استعلامات SQL عشوائية من خلال معامل release_id في ملف update_release.php. يمكن للمهاجمين استخدام حمولات قائمة على UNION لاستخراج معلومات حساسة من قاعدة البيانات مثل اسم المستخدم الحالي واسم قاعدة البيانات وإصدار نظام إدارة قواعد البيانات.

🤖 ملخص تنفيذي (AI)

تطبيق Kados R10 GreenBee يحتوي على ثغرة حقن SQL غير مصرح بها في نقطة نهاية boards_buttons/update_release.php عبر معامل release_id. يمكن للمهاجمين تنفيذ استعلامات SQL عشوائية واستخراج معلومات حساسة من قاعدة البيانات بدون مصادقة.

🤖 AI Intelligence Analysis Analyzed: Jun 3, 2026 12:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1005

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update Kados R10 GreenBee to the latest patched version. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Restrict access to the boards_buttons directory and implement authentication checks before processing any requests.

🔧 خطوات المعالجة (العربية)

قم بتحديث Kados R10 GreenBee إلى أحدث إصدار مصحح فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملية لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب لكشف ومنع هجمات حقن SQL. قيد الوصول إلى مجلد boards_buttons وطبق فحوصات المصادقة قبل معالجة أي طلبات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.12.2.1 A.13.1.1 A.14.2.1

🔗 References & Sources 4

🔗

https://sourceforge.net/projects/kados/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/45617

disclosure@vulncheck.com

🔗

https://www.kados.info/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/kados-r10-greenbee-sql-injection-via-update-releas...

disclosure@vulncheck.com

📊 CVSS Score

8.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.2

CWECWE-89

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-29

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25394

Introduce Yourself

Sign In Required