CVE-2026-36388
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.
Ocena ryzyka
Ryzyko polega na możliwości wykonania dowolnego skryptu w przeglądarce lekarza, co może prowadzić do kradzieży sesji, wycieku danych pacjentów lub przejęcia konta lekarza.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować łatkę zabezpieczającą. Dodatkowo, wdrożyć walidację i kodowanie danych wejściowych (np. HTML encoding) dla parametru User Name.
Oryginalny opis (angielski, źródło NVD)
A Cross-Site Scripting (XSS) vulnerability was found in PHPGurukal Hospital Management System v4.0 in the /hospital/hms/edit-profile.php page. This flaw allows an authenticated attacker (patient) to inject a malicious script payload into the User Name parameter, which is stored in the application and later rendered in the doctor s interface.

