CVE-2026-14703
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL Injection w pliku /patientorder.php. Nieznana funkcja tego pliku pozwala na manipulację argumentem editid, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został ujawniony publicznie.
Ocena ryzyka
Atakujący może zdalnie wykraść, zmodyfikować lub usunąć dane z bazy danych szpitala, co może prowadzić do naruszenia poufności danych pacjentów i zakłócenia działania systemu.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Jeśli nie jest dostępna, tymczasowo wyłączyć dostęp do pliku /patientorder.php lub zastosować filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in itsourcecode Hospital Management System 1.0. Affected is an unknown function of the file /patientorder.php. Such manipulation of the argument editid leads to sql injection. The attack may be performed from remote. The exploit has been disclosed to the public and may be used.

