Vulnerabilities ›

CVE-2019-25289

High

SmartLiving SmartLAN Authenticated Remote Command Injection Vulnerability (CVE-2019-25289)

CWE-78 — Weakness Type

                    Published: Jan 8, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

SmartLiving SmartLAN <=6.x contains an authenticated remote command injection vulnerability in the web.cgi binary through the 'par' POST parameter with the 'testemail' module. Attackers can exploit the unsanitized parameter and system() function call to execute arbitrary system commands with root privileges using default credentials.

🤖 AI Executive Summary

SmartLiving SmartLAN versions 6.x and earlier contain an authenticated remote command injection vulnerability in web.cgi that allows attackers to execute arbitrary system commands with root privileges. The vulnerability exists in the 'testemail' module through the unsanitized 'par' POST parameter and can be exploited using default credentials.

📄 Description (Arabic)

تحتوي ثغرة CVE-2019-25289 على عيب في معالجة المدخلات في وحدة testemail بتطبيق SmartLiving SmartLAN حيث لا يتم تعقيم معامل 'par' بشكل صحيح قبل تمريره إلى دالة system(). يمكن للمهاجمين المصرح لهم استخدام بيانات الاعتماد الافتراضية لتنفيذ أوامر نظام عشوائية بامتيازات الجذر على الخادم المتأثر.

🤖 ملخص تنفيذي (AI)

SmartLiving SmartLAN الإصدارات 6.x وما قبلها تحتوي على ثغرة حقن أوامر بعيدة مصرح بها في web.cgi تسمح للمهاجمين بتنفيذ أوامر نظام عشوائية بامتيازات الجذر. تكمن الثغرة في وحدة 'testemail' من خلال معامل 'par' غير المعقم والذي يمكن استغلاله باستخدام بيانات اعتماد افتراضية.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 10:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

energy government healthcare telecom

🎯 MITRE ATT&CK Techniques

T1190 T1078 T1059

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade SmartLiving SmartLAN to version 7.0 or later immediately. Change all default credentials to strong, unique passwords. Implement network segmentation to restrict access to the web.cgi interface. Apply input validation and sanitization for all POST parameters. Monitor for suspicious command execution patterns in system logs.

🔧 خطوات المعالجة (العربية)

قم بترقية SmartLiving SmartLAN إلى الإصدار 7.0 أو أحدث فوراً. غير جميع بيانات الاعتماد الافتراضية إلى كلمات مرور قوية وفريدة. طبق تقسيم الشبكة لتقييد الوصول إلى واجهة web.cgi. طبق التحقق من صحة المدخلات والتعقيم لجميع معاملات POST. راقب أنماط تنفيذ الأوامر المريبة في سجلات النظام.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.14.2.1

🔗 References & Sources 6

🔗

https://cxsecurity.com/issue/WLB-2019120046

disclosure@vulncheck.com

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/172840

disclosure@vulncheck.com

🔗

https://packetstormsecurity.com/files/155616

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/47765

disclosure@vulncheck.com

🔗

https://www.inim.biz/

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5544.php

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-78

EPSS0.37%

Exploit No

Patch ✓ Yes

Published 2026-01-08

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-78

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2019-25289

💬 Comments

Introduce Yourself

Sign In Required