Vulnerabilities ›

CVE-2018-25431

High

CWE-89 — Weakness Type

                    Published: Jun 1, 2026                      ·  Modified: Jun 8, 2026                      ·  Source: NVD                

CVSS v3

7.1

🔗 NVD Official

📄 Description (English)

No-Cms 1.0 contains an SQL injection vulnerability in the order_by parameter of the manage_privilege export endpoint that allows authenticated attackers to manipulate database queries. Attackers can submit POST requests to /nocms/main/manage_privilege/index/export with malicious SQL code in the order_by[0] parameter to extract sensitive database information.

🤖 AI Executive Summary

No-Cms 1.0 contains an SQL injection vulnerability in the manage_privilege export endpoint that allows authenticated attackers to manipulate database queries and extract sensitive information. The vulnerability exists in the order_by parameter of POST requests to the export functionality.

📄 Description (Arabic)

ثغرة حقن SQL في نقطة نهاية التصدير /nocms/main/manage_privilege/index/export تسمح للمستخدمين المصرحين بإدراج رمز SQL ضار في معامل order_by[0]. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات من خلال معالجة استعلامات SQL.

🤖 ملخص تنفيذي (AI)

No-Cms 1.0 يحتوي على ثغرة حقن SQL في نقطة نهاية تصدير manage_privilege التي تسمح للمهاجمين المصرحين بهم بمعالجة استعلامات قاعدة البيانات. يمكن للمهاجمين استخراج معلومات حساسة من خلال معاملات order_by الضارة.

🤖 AI Intelligence Analysis Analyzed: Jun 6, 2026 00:03

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1005

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade No-Cms to a patched version immediately. Implement input validation and parameterized queries for all database operations. Apply principle of least privilege to database user accounts. Use Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Conduct security code review of export functionality.

🔧 خطوات المعالجة (العربية)

قم بترقية No-Cms إلى نسخة مصححة فوراً. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق مبدأ أقل صلاحية على حسابات مستخدمي قاعدة البيانات. استخدم قواعد جدار الحماية لتطبيقات الويب لكشف محاولات حقن SQL. أجرِ مراجعة أمان شاملة لوظيفة التصدير.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1.1 ECC-2.2 ECC-3.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.DS-2 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.13.1.1 A.14.2.1

🔗 References & Sources 4

🔗

https://codeload.github.com/goFrendiAsgard/No-CMS/zip/master

disclosure@vulncheck.com

🔗

https://github.com/goFrendiAsgard/No-CMS

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/45903

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/no-cms-sql-injection-via-order-by-parameter

disclosure@vulncheck.com

📊 CVSS Score

7.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.1

CWECWE-89

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-06-01

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25431

Introduce Yourself

Sign In Required