الثغرات ›

CVE-2019-25672

مرتفع ⚡ اختراق متاح

CWE-89 — نوع الضعف

                    نُشر: Apr 5, 2026                      ·  آخر تحديث: Apr 12, 2026                      ·  المصدر: NVD                

CVSS v3

8.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

PilusCart 1.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the 'send' parameter. Attackers can submit POST requests to the comment submission endpoint with RLIKE-based boolean SQL injection payloads to extract sensitive database information.

🤖 ملخص AI

CVE-2019-25672 is a critical SQL injection vulnerability in PilusCart 1.4.1 affecting the comment submission endpoint. Unauthenticated attackers can exploit the 'send' parameter to extract sensitive database information through RLIKE-based boolean SQL injection. With CVSS 8.2 and active exploits available, this poses immediate risk to organizations using this e-commerce platform, particularly those handling customer and payment data.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 25, 2026 13:42

🇸🇦 التأثير على المملكة العربية السعودية

Saudi e-commerce businesses, particularly SMEs using PilusCart for online retail operations, face direct risk of customer data breach and financial information exposure. Banking sector exposure is moderate if integrated with payment gateways. Government procurement portals using this platform could expose sensitive bidding information. Telecom and retail sectors operating online stores are at highest risk. ARAMCO and energy sector supply chain portals may be affected if using this outdated platform. Data exfiltration could lead to regulatory violations under SAMA and NCA frameworks.

🏢 القطاعات السعودية المتأثرة

E-commerce and Retail Banking and Financial Services Government and Public Sector Telecommunications Energy and Utilities Healthcare

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1005 - Data from Local System T1213 - Data from Information Repositories T1040 - Traffic Capture or Redirection T1557 - Adversary-in-the-Middle T1110 - Brute Force

⚖️ درجة المخاطر السعودية (AI)

8.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all systems running PilusCart 1.4.1 across your organization

2. Disable or restrict access to the comment submission endpoint immediately

3. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the 'send' parameter

4. Monitor database logs for suspicious query patterns and RLIKE-based injection attempts



PATCHING GUIDANCE:

1. Since no official patch is available, upgrade to PilusCart 2.x or migrate to alternative e-commerce platforms (Magento, WooCommerce, OpenCart)

2. If upgrade is not immediately possible, apply input validation and parameterized queries to the comment submission function

3. Implement prepared statements for all database queries



COMPENSATING CONTROLS:

1. Deploy WAF rules: Block requests containing RLIKE, UNION, SELECT, OR 1=1 in POST parameters

2. Implement database activity monitoring (DAM) to detect unauthorized queries

3. Apply principle of least privilege to database user accounts

4. Enable database query logging and audit trails

5. Implement rate limiting on comment submission endpoint

6. Use database encryption for sensitive customer data



DETECTION RULES:

1. Monitor for POST requests to comment endpoints with SQL keywords in 'send' parameter

2. Alert on RLIKE patterns in web logs

3. Track database queries with UNION, SELECT, OR boolean operators from web application user

4. Monitor for unusual database connection patterns or query volumes

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تعمل بـ PilusCart 1.4.1 في المنظمة

2. تعطيل أو تقييد الوصول إلى نقطة نهاية تقديم التعليقات فوراً

3. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل 'send'

4. مراقبة سجلات قاعدة البيانات للأنماط المريبة ومحاولات الحقن القائمة على RLIKE

إرشادات التصحيح:

1. نظراً لعدم توفر تصحيح رسمي، قم بالترقية إلى PilusCart 2.x أو الهجرة إلى منصات التجارة الإلكترونية البديلة

2. إذا لم يكن الترقية ممكنة فوراً، طبق التحقق من صحة المدخلات والاستعلامات المعاملة

3. تطبيق البيانات المحضرة لجميع استعلامات قاعدة البيانات

الضوابط البديلة:

1. نشر قواعد WAF: حجب الطلبات التي تحتوي على RLIKE وUNION وSELECT وOR 1=1

2. تطبيق مراقبة نشاط قاعدة البيانات (DAM)

3. تطبيق مبدأ الامتياز الأقل على حسابات مستخدمي قاعدة البيانات

4. تفعيل تسجيل استعلامات قاعدة البيانات والمراجعة

5. تطبيق تحديد معدل على نقطة نهاية تقديم التعليقات

6. استخدام تشفير قاعدة البيانات للبيانات الحساسة للعملاء

قواعد الكشف:

1. مراقبة طلبات POST إلى نقاط نهاية التعليقات بكلمات SQL في معامل 'send'

2. التنبيه على أنماط RLIKE في سجلات الويب

3. تتبع استعلامات قاعدة البيانات مع UNION وSELECT وOR من مستخدم تطبيق الويب

4. مراقبة أنماط اتصال قاعدة البيانات غير العادية أو أحجام الاستعلام

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Secure development policy

🔵 SAMA CSF

SAMA CSF ID.BE-1 - Business objectives and strategies SAMA CSF PR.AC-1 - Access control and authentication SAMA CSF PR.DS-2 - Data security and protection SAMA CSF DE.CM-1 - Detection and monitoring

🟡 ISO 27001:2022

ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - Organizational controls ISO 27001:2022 A.8.2 - Mobile device management ISO 27001:2022 A.14.2 - Supplier security

🟣 PCI DSS v4.0.1

PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 6.2 - Security patches and updates PCI DSS 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 3

🔗

https://sourceforge.net/projects/pilus/

disclosure@vulncheck.com

Product

🔗

https://www.exploit-db.com/exploits/46368

disclosure@vulncheck.com

Exploit VDB Entry

🔗

https://www.vulncheck.com/advisories/piluscart-sql-injection-via-send-parameter

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

kartatopia:piluscart:1.4.1

📊 CVSS Score

8.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.2

CWECWE-89

EPSS0.07%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-05

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.5

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-89

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2019-25672

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب