CVE-2026-31071
KrytyczneStreszczenie
W systemie zarządzania apteką LalanaChami (commit 5c3d028) punkty końcowe API nie mają middleware autoryzacji. To pozwala nieautoryzowanym atakującym zdalnie na wyciek wszystkich rekordów użytkowników oraz modyfikację zapasów leków.
Ocena ryzyka
Brak autoryzacji w API stwarza poważne ryzyko dla bezpieczeństwa danych użytkowników oraz integralności systemu, co może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji medycznych.
Rekomendacja
Zaleca się wdrożenie odpowiedniego middleware autoryzacji dla wszystkich punktów końcowych API, aby zabezpieczyć dostęp do danych użytkowników oraz operacji na zapasach leków.
Oryginalny opis (angielski, źródło NVD)
API endpoints in LalanaChami Pharmacy Management System (commit 5c3d028) lack authentication middleware. Unauthenticated remote attackers can exploit this to dump all user records (including bcrypt password hashes) via /api/user/getUserData, modify drug inventory, and access private medical prescription data via /api/doctorOder.

