Vulnerabilities ›

CVE-2019-25728

High

CWE-89 — Weakness Type

                    Published: Jun 4, 2026                      ·  Modified: Jun 10, 2026                      ·  Source: NVD                

CVSS v3

8.2

🔗 NVD Official

📄 Description (English)

Care2x 2.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL commands by manipulating the ck_config cookie parameter. Attackers can inject malicious SQL through the ck_config cookie in multiple endpoints including login.php, indexframe.php, and various module files to extract sensitive database information without authentication.

🤖 AI Executive Summary

Care2x 2.7 contains SQL injection vulnerabilities in the ck_config cookie parameter that allow unauthenticated attackers to execute arbitrary SQL commands across multiple endpoints. Attackers can extract sensitive database information without authentication by manipulating this cookie in login.php, indexframe.php, and module files.

📄 Description (Arabic)

Care2x 2.7 يعاني من ثغرات حقن SQL متعددة في معامل ملف تعريف الارتباط ck_config الذي يسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر SQL عشوائية. تؤثر الثغرة على نقاط نهاية متعددة بما في ذلك login.php و indexframe.php وملفات الوحدات المختلفة. يمكن للمهاجمين استخراج بيانات حساسة من قاعدة البيانات دون الحاجة إلى بيانات اعتماد صحيحة.

🤖 ملخص تنفيذي (AI)

Care2x 2.7 يحتوي على ثغرات حقن SQL في معامل ملف تعريف الارتباط ck_config التي تسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر SQL عشوائية عبر نقاط نهاية متعددة. يمكن للمهاجمين استخراج معلومات حساسة من قاعدة البيانات دون المصادقة عن طريق التلاعب بملف تعريف الارتباط هذا في login.php و indexframe.php وملفات الوحدات.

🤖 AI Intelligence Analysis Analyzed: Jun 8, 2026 18:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

healthcare government

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1083 T1005 T1078

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Care2x to a patched version beyond 2.7 immediately. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Disable or restrict cookie-based authentication mechanisms. Monitor database logs for suspicious SQL queries. Implement strict access controls and network segmentation for healthcare systems.

🔧 خطوات المعالجة (العربية)

قم بترقية Care2x إلى إصدار مصحح يتجاوز 2.7 فوراً. قم بتطبيق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات حقن SQL وحجبها. عطل أو قيد آليات المصادقة القائمة على ملفات تعريف الارتباط. راقب سجلات قاعدة البيانات للاستعلامات المريبة. طبق ضوابط وصول صارمة والفصل بين الشبكات لأنظمة الرعاية الصحية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1.1 ECC-2.1 ECC-3.2

🔵 SAMA CSF

ID.GV-2 PR.AC-1 PR.DS-2

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.12.2.1 A.14.2.1

🔗 References & Sources 2

🔗

https://www.exploit-db.com/exploits/46268

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/care2x-hospital-information-system-sql-injection-v...

disclosure@vulncheck.com

📊 CVSS Score

8.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.2

CWECWE-89

EPSS0.10%

Exploit No

Patch ✗ No

Published 2026-06-04

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2019-25728

Introduce Yourself

Sign In Required