Katalog CVE

CVE-2025-56385

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 - wyżej niż 32% wszystkich znanych CVE

Streszczenie

Podatność SQL injection w funkcji logowania WellSky Harmony 4.1.0.2.83 w endpointcie 'xmHarmony.asp'. Parametr 'TXTUSERID' nie jest odpowiednio sanityzowany przed użyciem w zapytaniu SQL. Udane wykorzystanie może prowadzić do ominięcia uwierzytelniania, wycieku danych lub pełnego przejęcia bazy danych.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do systemu, kradzież wrażliwych danych pacjentów oraz potencjalne przejęcie kontroli nad całą bazą danych backendu, co może skutkować poważnymi naruszeniami zgodności i stratami finansowymi.

Rekomendacja

Niezwłocznie zastosuj poprawkę od producenta lub zaimplementuj parametryzowane zapytania SQL oraz walidację wejścia dla parametru 'TXTUSERID'. Ogranicz dostęp do endpointu 'xmHarmony.asp' tylko dla zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability exists in the login functionality of WellSky Harmony version 4.1.0.2.83 within the 'xmHarmony.asp' endpoint. User-supplied input to the 'TXTUSERID' parameter is not properly sanitized before being incorporated into a SQL query. Successful authentication may lead to authentication bypass, data leakage, or full system compromise of backend database contents.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS