CVE-2026-13532
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych medycznych oraz potencjalne przejęcie kontroli nad systemem przez atakującego. Może to skutkować naruszeniem prywatności pacjentów i poważnymi konsekwencjami prawnymi.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę eliminującą podatność na wstrzykiwanie SQL. Dodatkowo zaleca się walidację wszystkich danych wejściowych oraz stosowanie zapytań parametryzowanych.
Oryginalny opis (angielski, źródło NVD)
A weakness has been identified in itsourcecode Hospital Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /departmentDoctor.php. This manipulation of the argument deptid causes sql injection. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be used for attacks.

