CVE-2026-14717
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność na iniekcję SQL w pliku /patientlogin.php. Atakujący może zdalnie manipulować argumentem loginid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit jest publicznie dostępny.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego przejęcia kontroli nad bazą danych szpitala, co może skutkować wyciekiem wrażliwych danych pacjentów, naruszeniem prywatności oraz zakłóceniem działania systemu.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą przed iniekcją SQL. W międzyczasie zaleca się ograniczenie dostępu do pliku /patientlogin.php oraz wdrożenie walidacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in itsourcecode Hospital Management System 1.0. The affected element is an unknown function of the file /patientlogin.php. Performing a manipulation of the argument loginid results in sql injection. Remote exploitation of the attack is possible. The exploit is now public and may be used.

