CVE-2026-14731
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /patientreport.php. Manipulacja argumentem editid umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
Ocena ryzyka
Atakujący może zdalnie wykraść, zmodyfikować lub usunąć dane z bazy danych, w tym wrażliwe informacje medyczne i osobowe pacjentów, co narusza poufność i integralność systemu.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Do czasu wdrożenia aktualizacji zaleca się tymczasowe wyłączenie dostępu do pliku /patientreport.php lub zastosowanie zapory aplikacyjnej (WAF) blokującej ataki SQL injection.
Oryginalny opis (angielski, źródło NVD)
A weakness has been identified in itsourcecode Hospital Management System 1.0. This affects an unknown part of the file /patientreport.php. Executing a manipulation of the argument editid can lead to sql injection. The attack can be launched remotely. The exploit has been made available to the public and could be used for attacks.

