Vulnerabilities ›

CVE-2026-22197

High

GestSup SQL Injection Vulnerabilities in Asset List Functionality (CVE-2026-22197)

CWE-89 — Weakness Type

                    Published: Jan 9, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.1

🔗 NVD Official

📄 Description (English)

GestSup versions prior to 3.2.60 contain multiple SQL injection vulnerabilities in the asset list functionality. Multiple request parameters used to filter, search, or sort assets are incorporated into SQL queries without sufficient neutralization, allowing an authenticated attacker to manipulate database queries. Successful exploitation can result in unauthorized access to or modification of database contents depending on database privileges.

🤖 AI Executive Summary

GestSup versions prior to 3.2.60 contain multiple SQL injection vulnerabilities in asset list functionality that allow authenticated attackers to manipulate database queries through unsanitized filter, search, and sort parameters. Successful exploitation enables unauthorized access to or modification of database contents based on database privileges, posing significant risks to data confidentiality and integrity.

📄 Description (Arabic)

تعاني إصدارات GestSup السابقة للإصدار 3.2.60 من ثغرات أمنية خطيرة تتعلق بحقن أوامر SQL في وظيفة إدارة قائمة الأصول. تنشأ هذه الثغرات من عدم تعقيم معاملات الطلبات المستخدمة في عمليات الفلترة والبحث والفرز قبل دمجها في استعلامات SQL، مما يسمح للمهاجم المصادق عليه بحقن أوامر SQL ضارة. يمكن أن يؤدي الاستغلال الناجح إلى الوصول غير المصرح به لبيانات حساسة، تعديل أو حذف سجلات قاعدة البيانات، أو تنفيذ عمليات غير مشروعة حسب صلاحيات المستخدم في قاعدة البيانات. تشكل هذه الثغرة تهديداً مباشراً لسرية وسلامة وتوافر البيانات المؤسسية.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات GestSup الأقدم من 3.2.60 على ثغرات متعددة لحقن SQL في وظيفة قائمة الأصول تسمح للمهاجمين المصادق عليهم بالتلاعب باستعلامات قاعدة البيانات من خلال معاملات الفلترة والبحث والفرز غير المعقمة. يمكن للاستغلال الناجح الوصول غير المصرح به إلى محتويات قاعدة البيانات أو تعديلها بناءً على صلاحيات قاعدة البيانات، مما يشكل مخاطر كبيرة على سرية البيانات وسلامتها.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 08:10

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using GestSup for asset management face significant risks of data breaches and unauthorized database manipulation, particularly affecting financial institutions, government entities, and critical infrastructure operators who maintain sensitive asset inventories. The vulnerability threatens compliance with NCA ECC controls and SAMA CSF requirements for database security and access control.

🏢 Affected Saudi Sectors

القطاع المالي والمصرفي الجهات الحكومية البنية التحتية الحيوية قطاع الاتصالات وتقنية المعلومات قطاع الرعاية الصحية

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1213 T1078 T1530

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade GestSup to version 3.2.60 or later to patch the SQL injection vulnerabilities in asset list functionality

2. Implement database activity monitoring and review logs for suspicious SQL queries or unauthorized data access attempts targeting asset management tables

3. Apply principle of least privilege to database accounts used by GestSup, restricting permissions to only necessary operations and implementing parameterized queries or prepared statements for all database interactions

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لنظام GestSup إلى الإصدار 3.2.60 أو أحدث لإصلاح ثغرات حقن SQL في وظيفة قائمة الأصول

2. تطبيق مراقبة نشاط قاعدة البيانات ومراجعة السجلات للكشف عن استعلامات SQL المشبوهة أو محاولات الوصول غير المصرح به التي تستهدف جداول إدارة الأصول

3. تطبيق مبدأ الصلاحيات الأقل امتيازاً لحسابات قاعدة البيانات المستخدمة من قبل GestSup، وتقييد الأذونات للعمليات الضرورية فقط وتنفيذ الاستعلامات المعلمية أو العبارات المحضرة لجميع تفاعلات قاعدة البيانات

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 ECC-2-1 ECC-3-1 ECC-4-1 ECC-5-2

🔵 SAMA CSF

CCC-1.1.1 CCC-2.1.1 CCC-3.1.1 CCC-4.1.1 CCC-5.1.1

🟡 ISO 27001:2022

A.8.2.3 A.12.6.1 A.14.2.1 A.18.1.3

🔗 References & Sources 2

🔗

https://gestsup.fr/index.php?page=changelog

disclosure@vulncheck.com

Release Notes

🔗

https://www.vulncheck.com/advisories/gestsup-multiple-sqli-in-asset-list

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

gestsup:gestsup

📊 CVSS Score

8.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.1

CWECWE-89

EPSS0.02%

Exploit No

Patch ✓ Yes

Published 2026-01-09

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22197

Introduce Yourself

Sign In Required