CVE-2026-13520
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /appointmentapproval.php. Nieznana funkcja komponentu Appointment Handler nieprawidłowo przetwarza argument editid, co umożliwia wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych pacjentów i personelu oraz potencjalną modyfikację lub usunięcie danych. Publicznie dostępny exploit zwiększa prawdopodobieństwo ataku.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Jeśli to niemożliwe, należy tymczasowo wyłączyć lub zabezpieczyć plik /appointmentapproval.php oraz zastosować parametryzację zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in itsourcecode Hospital Management System 1.0. Affected is an unknown function of the file /appointmentapproval.php of the component Appointment Handler. This manipulation of the argument editid causes sql injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized.

