Vulnerabilities ›

CVE-2026-22195

High

SQL Injection Vulnerability in GestSup Search Functionality (CVE-2026-22195)

CWE-89 — Weakness Type

                    Published: Jan 9, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.1

🔗 NVD Official

📄 Description (English)

GestSup versions prior to 3.2.60 contain a SQL injection vulnerability in the search bar functionality. User-controlled search input is incorporated into SQL queries without sufficient neutralization, allowing an authenticated attacker to manipulate database queries. Successful exploitation can result in unauthorized access to or modification of database contents depending on database privileges.

🤖 AI Executive Summary

GestSup versions prior to 3.2.60 contain a critical SQL injection vulnerability in the search bar functionality that allows authenticated attackers to manipulate database queries. Exploitation enables unauthorized access to sensitive database contents and potential data modification. Organizations using affected versions face risks of data breaches and integrity compromise.

📄 Description (Arabic)

تم اكتشاف ثغرة أمنية خطيرة من نوع حقن SQL في نظام GestSup للإصدارات السابقة للنسخة 3.2.60، حيث يتم دمج مدخلات البحث التي يتحكم فيها المستخدم في استعلامات SQL دون تحييد كافٍ. يمكن للمهاجم المصادق عليه استغلال هذه الثغرة للتلاعب باستعلامات قاعدة البيانات وتنفيذ أوامر SQL عشوائية. تعتمد خطورة الاستغلال على صلاحيات قاعدة البيانات الممنوحة للتطبيق، مما قد يؤدي إلى الوصول غير المصرح به للبيانات الحساسة أو تعديلها أو حذفها. تشكل هذه الثغرة تهديداً مباشراً لسرية وسلامة البيانات المؤسسية المخزنة في النظام.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات GestSup الأقدم من 3.2.60 على ثغرة حقن SQL حرجة في وظيفة شريط البحث تسمح للمهاجمين المصادق عليهم بالتلاعب باستعلامات قاعدة البيانات. يمكن استغلال الثغرة للوصول غير المصرح به إلى محتويات قاعدة البيانات الحساسة وتعديل البيانات المحتمل. تواجه المؤسسات التي تستخدم الإصدارات المتأثرة مخاطر اختراق البيانات وتعرض سلامتها للخطر.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 08:09

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using GestSup for support ticket management face significant risks of unauthorized database access and potential data breaches affecting customer information and operational data. This vulnerability directly threatens compliance with PDPL data protection requirements and NCA cybersecurity controls, particularly for government entities and critical infrastructure sectors mandated to protect sensitive information.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي قطاع الاتصالات وتقنية المعلومات قطاع الرعاية الصحية قطاع التعليم قطاع الخدمات المهنية

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1213 T1078 T1530

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade GestSup to version 3.2.60 or later, and if upgrade is not immediately possible, disable or restrict access to the search functionality until patching is completed.

2. Implement input validation and parameterized queries (prepared statements) for all database interactions, ensuring user input is properly sanitized before incorporation into SQL queries.

3. Apply principle of least privilege to database accounts used by GestSup, conduct comprehensive security audit of all search and query functionalities, enable database activity monitoring, and review logs for indicators of exploitation attempts.

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لنظام GestSup إلى الإصدار 3.2.60 أو أحدث، وفي حال تعذر الترقية الفورية، يجب تعطيل أو تقييد الوصول إلى وظيفة البحث حتى اكتمال تطبيق التحديث الأمني.

2. تطبيق آليات التحقق من صحة المدخلات واستخدام الاستعلامات المعلمية (prepared statements) لجميع التفاعلات مع قاعدة البيانات، مع ضمان تنقية مدخلات المستخدم بشكل صحيح قبل دمجها في استعلامات SQL.

3. تطبيق مبدأ الصلاحيات الأدنى لحسابات قاعدة البيانات المستخدمة من قبل GestSup، وإجراء مراجعة أمنية شاملة لجميع وظائف البحث والاستعلام، وتفعيل مراقبة نشاط قاعدة البيانات، ومراجعة السجلات للكشف عن مؤشرات محاولات الاستغلال.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-2-1 (Secure Development) ECC-3-1 (Data Security) ECC-4-1 (Access Control) ECC-5-1 (Security Monitoring)

🔵 SAMA CSF

CCC-1.1.1 (Asset Management) CCC-2.1.1 (Vulnerability Assessment) CCC-3.1.1 (Data Protection) CCC-4.1.1 (Access Control) CCC-5.1.1 (Security Monitoring and Logging)

🟡 ISO 27001:2022

A.8.8 (Management of Technical Vulnerabilities) A.14.2.1 (Secure Development Policy) A.18.1.3 (Protection of Records) A.9.4.1 (Information Access Restriction)

🔗 References & Sources 2

🔗

https://gestsup.fr/index.php?page=changelog

disclosure@vulncheck.com

Release Notes

🔗

https://www.vulncheck.com/advisories/gestsup-sqli-in-search-bar

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

gestsup:gestsup

📊 CVSS Score

8.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.1

CWECWE-89

EPSS0.02%

Exploit No

Patch ✓ Yes

Published 2026-01-09

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22195

Introduce Yourself

Sign In Required