Katalog CVE

CVE-2026-36388

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.

Ocena ryzyka

Ryzyko polega na możliwości wykonania dowolnego skryptu w przeglądarce lekarza, co może prowadzić do kradzieży sesji, wycieku danych pacjentów lub przejęcia konta lekarza.

Rekomendacja

Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować łatkę zabezpieczającą. Dodatkowo, wdrożyć walidację i kodowanie danych wejściowych (np. HTML encoding) dla parametru User Name.

Oryginalny opis (angielski, źródło NVD)

A Cross-Site Scripting (XSS) vulnerability was found in PHPGurukal Hospital Management System v4.0 in the /hospital/hms/edit-profile.php page. This flaw allows an authenticated attacker (patient) to inject a malicious script payload into the User Name parameter, which is stored in the application and later rendered in the doctor s interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS