CRITICAL🇬🇧 English

CVE-2024-51360

RCE w Phpgurukul Hospital Management System v4.0 przez edit-profile.php

CVSS 9.8v3.1pub. 2025-05-23upd. 2025-05-29

Podatność w Hospital Management System In PHP V4.0 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom zagrożenia (CVSS 9.8) sprawia, że podatność wymaga pilnej reakcji.

Pokaż oryginał (EN)

An issue in Hospital Management System In PHP V4.0 allows a remote attacker to execute arbitrary code via the hms/doctor/edit-profile.php file

🤖 Analiza AI
Jak działa

Podatność zlokalizowana jest w pliku hms/doctor/edit-profile.php i należy do klasy CWE-94 (Code Injection). Atakujący może przesłać spreparowane dane do podatnego endpointu bez konieczności uwierzytelnienia, co pozwala na wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. Brak wymagań co do uprawnień oraz interakcji użytkownika (PR:N, UI:N) znacząco obniża próg wejścia dla atakującego.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — w tym dostęp do poufnych danych pacjentów i personelu medycznego, modyfikację lub usunięcie danych oraz potencjalne przejęcie całej infrastruktury aplikacji (pełny wpływ na poufność, integralność i dostępność).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu do pliku hms/doctor/edit-profile.php na poziomie firewall lub serwera WWW oraz monitorowanie podejrzanego ruchu kierowanego do tego endpointu.

Kogo dotyczy

Phpgurukul Hospital Management System In PHP w wersji 4.0

Uwagi

Referencja producenta wskazuje na dokument dotyczący Session Hijacking — może to sugerować, że podatność jest powiązana z przejęciem sesji jako wektorem wstępnym lub pokrewnym problemem bezpieczeństwa, jednak opis CVE klasyfikuje ją jako RCE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul Hospital Management System

    APP
    Phpgurukul
    4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-56212CRITICAL9.8PL ✓ten sam produkt

SQL Injection w phpgurukul Hospital Management System 4.0 (add-doctor.php)

CVE-2025-56214CRITICAL9.8PL ✓ten sam produkt

SQL Injection w phpgurukul Hospital Management System 4.0 (parametr username)

CVE-2020-26629CRITICAL9.8PL ✓ten sam produkt

Nieograniczony upload plików w Hospital Management System V4.0

CVE-2023-31498CRITICAL9.8ten sam produkt

A privilege escalation issue was found in PHP Gurukul Hospital Management System In v.4.0 allows a remote atta...

CVE-2022-24263CRITICAL9.8ten sam produkt

Hospital Management System v4.0 was discovered to contain a SQL injection vulnerability in /Hospital-Managemen...