Vulnerabilities ›

CVE-2018-25395

High

CWE-89 — Weakness Type

                    Published: May 29, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

8.2

🔗 NVD Official

📄 Description (English)

Kados R10 GreenBee contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the feature_id parameter of boards_buttons/update_feature.php. The feature_id value is concatenated directly into SQL statements without sanitization, allowing attackers to send a crafted GET request with a UNION-based payload to extract sensitive database information including the current user, database name, and DBMS version.

🤖 AI Executive Summary

Kados R10 GreenBee contains an unauthenticated SQL injection vulnerability in the boards_buttons/update_feature.php endpoint via the feature_id parameter. Attackers can execute arbitrary SQL queries and extract sensitive database information without authentication.

📄 Description (Arabic)

تحتوي ثغرة CVE-2018-25395 على عيب في معالجة معامل feature_id حيث يتم دمج القيم مباشرة في استعلامات SQL بدون تنظيف أو تحقق. يمكن للمهاجمين استخدام حمولات قائمة على UNION لاستخراج بيانات حساسة مثل اسم المستخدم الحالي واسم قاعدة البيانات وإصدار نظام إدارة قواعد البيانات. هذه الثغرة خطيرة بشكل خاص لأنها لا تتطلب مصادقة مسبقة.

🤖 ملخص تنفيذي (AI)

تحتوي منصة Kados R10 GreenBee على ثغرة حقن SQL غير مصرح بها في نقطة نهاية boards_buttons/update_feature.php عبر معامل feature_id. يمكن للمهاجمين تنفيذ استعلامات SQL عشوائية واستخراج معلومات حساسة من قاعدة البيانات بدون مصادقة.

🤖 AI Intelligence Analysis Analyzed: Jun 3, 2026 12:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1005 T1041

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Kados R10 GreenBee to the latest patched version. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to block SQL injection patterns. Conduct a security audit of all database access points and review access logs for unauthorized queries.

🔧 خطوات المعالجة (العربية)

قم بترقية Kados R10 GreenBee فوراً إلى أحدث إصدار مصحح. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب لحظر أنماط حقن SQL. أجرِ تدقيقاً أمنياً لجميع نقاط الوصول إلى قاعدة البيانات وراجع سجلات الوصول للاستعلامات غير المصرح بها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A1 A2 A3 A5

🔵 SAMA CSF

ID.GV-1 PR.AC-1 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.13.1.1 A.14.2.1

🔗 References & Sources 4

🔗

https://sourceforge.net/projects/kados/

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/45617

disclosure@vulncheck.com

🔗

https://www.kados.info/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/kados-r10-greenbee-sql-injection-via-update-featur...

disclosure@vulncheck.com

📊 CVSS Score

8.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.2

CWECWE-89

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-29

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25395

Introduce Yourself

Sign In Required