CRITICAL🇬🇧 English

CVE-2024-10440

SQL Injection w eHDR CTMS (Sunnet) umożliwia nieautoryzowany dostęp do bazy

CVSS 9.8v3.1pub. 2024-10-28upd. 2025-09-25

Aplikacja eHDR CTMS firmy Sunnet zawiera krytyczną podatność SQL Injection, która pozwala nieuwierzytelnionemu atakującemu zdalnie wykonywać dowolne polecenia SQL. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnej autoryzacji ani interakcji użytkownika.

Pokaż oryginał (EN)

The eHDR CTMS from Sunnet has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary SQL command to read, modify, and delete database contents.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL (CWE-89). Atakujący może wstrzyknąć złośliwe polecenia SQL bezpośrednio przez sieć, bez konieczności posiadania konta w systemie. Pozwala to na manipulowanie logiką zapytań kierowanych do bazy danych aplikacji.

Skutki

Atakujący może odczytać, zmodyfikować lub usunąć zawartość bazy danych systemu eHDR CTMS, co może prowadzić do ujawnienia wrażliwych danych pacjentów lub zakłócenia działania systemu zarządzania badaniami klinicznymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT (https://www.twcert.org.tw/en/cp-139-8169-0632f-2.html)

Kogo dotyczy

Sun.Net eHDR CTMS — wersje wskazane w referencjach producenta (TWCERT)

Uwagi

Podatność została zgłoszona i opublikowana przez Taiwan Computer Emergency Response Team (TWCERT) w dniu 2024-10-28. System eHDR CTMS służy do zarządzania badaniami klinicznymi, co oznacza potencjalne ryzyko dla danych wrażliwych z obszaru ochrony zdrowia.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Sun.net Ehrd Ctms

    APP
    Sun.Net
    < 10.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-54946CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SUNNET Corporate Training Management System

CVE-2025-54945CRITICAL10.0PL ✓ten sam produkt

RCE poprzez external control of file path w SUNNET CTMS

CVE-2025-54943CRITICAL9.3PL ✓ten sam produkt

Brak autoryzacji w SUNNET CTMS umożliwia nieautoryzowane wdrożenie aplikacji

CVE-2025-54942CRITICAL9.3PL ✓ten sam produkt

Brak uwierzytelnienia w SUNNET CTMS — dostęp do funkcji wdrożeniowych

CVE-2026-7489HIGH8.7ten sam produkt

CTMS developed by Sunnet has a SQL Injection vulnerability, allowing authenticated remote attackers to inject ...

CVE-2024-10440 — SQL Injection w eHDR CTMS (Sunnet) umożliwia nieautoryzowany dostęp do bazy — CRITICAL 9.8 | CVEbaza.pl