Katalog CVE

CVE-2026-13520

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /appointmentapproval.php. Nieznana funkcja komponentu Appointment Handler nieprawidłowo przetwarza argument editid, co umożliwia wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych pacjentów i personelu oraz potencjalną modyfikację lub usunięcie danych. Publicznie dostępny exploit zwiększa prawdopodobieństwo ataku.

Rekomendacja

Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Jeśli to niemożliwe, należy tymczasowo wyłączyć lub zabezpieczyć plik /appointmentapproval.php oraz zastosować parametryzację zapytań SQL.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was determined in itsourcecode Hospital Management System 1.0. Affected is an unknown function of the file /appointmentapproval.php of the component Appointment Handler. This manipulation of the argument editid causes sql injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS