الثغرات ›

CVE-2019-25639

مرتفع

CWE-89 — نوع الضعف

                    نُشر: Mar 24, 2026                      ·  آخر تحديث: Mar 30, 2026                      ·  المصدر: NVD                

CVSS v3

8.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Matrimony Website Script M-Plus contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to manipulate database queries by injecting SQL code through various POST parameters. Attackers can inject malicious SQL payloads into parameters like txtGender, religion, Fage, and cboCountry across simplesearch_results.php, advsearch_results.php, specialcase_results.php, locational_results.php, and registration2.php to extract sensitive database information or execute arbitrary SQL commands.

🤖 ملخص AI

CVE-2019-25639 is a critical SQL injection vulnerability in Matrimony Website Script M-Plus affecting multiple search and registration endpoints. Unauthenticated attackers can inject malicious SQL code through POST parameters to extract sensitive database information or manipulate database queries. With no patch available and high CVSS score of 8.2, organizations using this script face immediate risk of data breach and unauthorized database access.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 11:33

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi matrimony and matchmaking platforms, which are prevalent in the Kingdom's digital ecosystem. High-risk sectors include: (1) Private matrimony service providers operating in Saudi Arabia, (2) Government-regulated marriage facilitation platforms, (3) Telecom companies (STC, Mobily, Zain) offering matrimony services, (4) Financial institutions processing matrimony-related transactions. Exposure of matrimony databases could compromise personal information (names, contact details, family background, religious preferences, financial status) of thousands of Saudi users, violating privacy regulations and causing reputational damage.

🏢 القطاعات السعودية المتأثرة

Matrimony Services Telecom (STC, Mobily, Zain) Financial Services Government Services Healthcare (if integrated with matrimony platforms) E-commerce Platforms offering matrimony features

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1557 - Man-in-the-Browser T1040 - Network Sniffing T1213 - Data from Information Repositories T1005 - Data from Local System T1020 - Automated Exfiltration T1110 - Brute Force

⚖️ درجة المخاطر السعودية (AI)

8.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all instances of Matrimony Website Script M-Plus in your infrastructure and isolate affected systems from production networks if possible

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in POST parameters: txtGender, religion, Fage, cboCountry

3. Enable database query logging and monitoring for suspicious SQL patterns

4. Conduct emergency security audit of affected databases for unauthorized access indicators

COMPENSATING CONTROLS (No patch available):

5. Apply input validation and sanitization: Use parameterized queries/prepared statements for all database interactions

6. Implement strict input filtering: Whitelist allowed characters for each parameter, reject special SQL characters (', ", ;, --, /**/)

7. Apply principle of least privilege: Restrict database user permissions to minimum required operations

8. Enable database activity monitoring and alerting for unusual query patterns

9. Implement rate limiting on search and registration endpoints

DETECTION RULES:

10. Monitor POST requests to simplesearch_results.php, advsearch_results.php, specialcase_results.php, locational_results.php, registration2.php for SQL keywords (UNION, SELECT, INSERT, DROP, EXEC, etc.)

11. Alert on multiple failed database queries or unusual response times

12. Track database error messages in application logs for SQL syntax errors

LONG-TERM:

13. Plan migration to patched/alternative matrimony platform with secure coding practices

14. Conduct code review of custom modifications to identify similar vulnerabilities

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع نسخ سكريبت موقع الزواج M-Plus في البنية التحتية الخاصة بك وعزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معاملات POST: txtGender, religion, Fage, cboCountry

3. تفعيل تسجيل المراقبة لاستعلامات قاعدة البيانات والكشف عن الأنماط المريبة

4. إجراء تدقيق أمني طارئ لقواعد البيانات المتأثرة للكشف عن مؤشرات الوصول غير المصرح

الضوابط البديلة (لا يوجد تصحيح متاح):

5. تطبيق التحقق من صحة المدخلات والتطهير: استخدام الاستعلامات المعاملة/البيانات المحضرة لجميع تفاعلات قاعدة البيانات

6. تطبيق تصفية مدخلات صارمة: قائمة بيضاء للأحرف المسموحة لكل معامل، رفض أحرف SQL الخاصة

7. تطبيق مبدأ أقل امتياز: تقييد أذونات مستخدم قاعدة البيانات للعمليات المطلوبة بحد أدنى

8. تفعيل مراقبة نشاط قاعدة البيانات والتنبيهات لأنماط الاستعلامات غير العادية

9. تطبيق تحديد معدل على نقاط نهاية البحث والتسجيل

قواعد الكشف:

10. مراقبة طلبات POST إلى ملفات البحث والتسجيل بحثاً عن كلمات SQL الرئيسية

11. التنبيه على استعلامات قاعدة البيانات المتعددة الفاشلة أو أوقات الاستجابة غير العادية

12. تتبع رسائل خطأ قاعدة البيانات في سجلات التطبيق

المدى الطويل:

13. التخطيط للهجرة إلى منصة زواج معدلة/بديلة مع ممارسات الترميز الآمن

14. إجراء مراجعة الكود للتعديلات المخصصة لتحديد ثغرات مماثلة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure coding practices and code review ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - User access management and authentication

🔵 SAMA CSF

SAMA CSF ID.BE-3 - Organizational resilience and risk management SAMA CSF PR.DS-2 - Data security and protection SAMA CSF PR.AC-1 - Access control and authentication SAMA CSF DE.CM-1 - Detection and monitoring of anomalies

🟡 ISO 27001:2022

ISO 27001:2022 A.8.2.3 - Segregation of duties ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure coding practices ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities

🟣 PCI DSS v4.0.1

PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates PCI DSS 11.2 - Vulnerability scanning and assessment

🔗 المراجع والمصادر 3

🔗

https://www.exploit-db.com/exploits/46591

disclosure@vulncheck.com

🔗

https://www.matri4web.com

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/matrimony-website-script-m-plus-multiple-sql-injec...

disclosure@vulncheck.com

📊 CVSS Score

8.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.2

CWECWE-89

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-24

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.5

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-89

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2019-25639

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب