الثغرات ›

CVE-2019-25289

مرتفع

ثغرة حقن أوامر عن بعد مصادق عليها في SmartLiving SmartLAN (CVE-2019-25289)

CWE-78 — نوع الضعف

                    نُشر: Jan 8, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

SmartLiving SmartLAN <=6.x contains an authenticated remote command injection vulnerability in the web.cgi binary through the 'par' POST parameter with the 'testemail' module. Attackers can exploit the unsanitized parameter and system() function call to execute arbitrary system commands with root privileges using default credentials.

🤖 ملخص AI

SmartLiving SmartLAN versions 6.x and earlier contain an authenticated remote command injection vulnerability in web.cgi that allows attackers to execute arbitrary system commands with root privileges. The vulnerability exists in the 'testemail' module through the unsanitized 'par' POST parameter and can be exploited using default credentials.

📄 الوصف (العربية)

تحتوي ثغرة CVE-2019-25289 على عيب في معالجة المدخلات في وحدة testemail بتطبيق SmartLiving SmartLAN حيث لا يتم تعقيم معامل 'par' بشكل صحيح قبل تمريره إلى دالة system(). يمكن للمهاجمين المصرح لهم استخدام بيانات الاعتماد الافتراضية لتنفيذ أوامر نظام عشوائية بامتيازات الجذر على الخادم المتأثر.

🤖 ملخص تنفيذي (AI)

SmartLiving SmartLAN الإصدارات 6.x وما قبلها تحتوي على ثغرة حقن أوامر بعيدة مصرح بها في web.cgi تسمح للمهاجمين بتنفيذ أوامر نظام عشوائية بامتيازات الجذر. تكمن الثغرة في وحدة 'testemail' من خلال معامل 'par' غير المعقم والذي يمكن استغلاله باستخدام بيانات اعتماد افتراضية.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 10:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

energy government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1078 T1059

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade SmartLiving SmartLAN to version 7.0 or later immediately. Change all default credentials to strong, unique passwords. Implement network segmentation to restrict access to the web.cgi interface. Apply input validation and sanitization for all POST parameters. Monitor for suspicious command execution patterns in system logs.

🔧 خطوات المعالجة (العربية)

قم بترقية SmartLiving SmartLAN إلى الإصدار 7.0 أو أحدث فوراً. غير جميع بيانات الاعتماد الافتراضية إلى كلمات مرور قوية وفريدة. طبق تقسيم الشبكة لتقييد الوصول إلى واجهة web.cgi. طبق التحقق من صحة المدخلات والتعقيم لجميع معاملات POST. راقب أنماط تنفيذ الأوامر المريبة في سجلات النظام.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.14.2.1

🔗 المراجع والمصادر 6

🔗

https://cxsecurity.com/issue/WLB-2019120046

disclosure@vulncheck.com

🔗

https://exchange.xforce.ibmcloud.com/vulnerabilities/172840

disclosure@vulncheck.com

🔗

https://packetstormsecurity.com/files/155616

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/47765

disclosure@vulncheck.com

🔗

https://www.inim.biz/

disclosure@vulncheck.com

🔗

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5544.php

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-78

EPSS0.37%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-08

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-78

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2019-25289

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب