CRITICAL🇬🇧 English

CVE-2025-56212

SQL Injection w phpgurukul Hospital Management System 4.0 (add-doctor.php)

CVSS 9.8v3.1pub. 2025-08-25upd. 2026-04-06

Podatność typu SQL Injection w aplikacji phpgurukul Hospital Management System 4.0 umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL poprzez parametr docname w pliku add-doctor.php. Ze względu na brak wymagania uwierzytelnienia i pełny wpływ na poufność, integralność oraz dostępność danych, podatność otrzymała ocenę krytyczną CVSS 9.8.

Pokaż oryginał (EN)

phpgurukul Hospital Management System 4.0 is vulnerable to SQL Injection in add-doctor.php via the docname parameter.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych przez użytkownika do parametru docname w pliku add-doctor.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego przez bazę danych, co umożliwia manipulację logiką zapytań. Atak może być przeprowadzony zdalnie, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych przechowywanych w bazie danych (w tym danych pacjentów i personelu medycznego), modyfikować lub usuwać rekordy, a w sprzyjających warunkach doprowadzić do całkowitej utraty dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz ograniczenie dostępu do wrażliwych plików aplikacji na poziomie serwera WWW.

Kogo dotyczy

phpgurukul Hospital Management System w wersji 4.0

Uwagi

Szczegółowy opis podatności wraz z dowodem koncepcji (proof-of-concept) został opublikowany w repozytorium GitHub pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul Hospital Management System

    APP
    Phpgurukul
    4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-56214CRITICAL9.8PL ✓ten sam produkt

SQL Injection w phpgurukul Hospital Management System 4.0 (parametr username)

CVE-2024-51360CRITICAL9.8PL ✓ten sam produkt

RCE w Phpgurukul Hospital Management System v4.0 przez edit-profile.php

CVE-2020-26629CRITICAL9.8PL ✓ten sam produkt

Nieograniczony upload plików w Hospital Management System V4.0

CVE-2023-31498CRITICAL9.8ten sam produkt

A privilege escalation issue was found in PHP Gurukul Hospital Management System In v.4.0 allows a remote atta...

CVE-2022-24263CRITICAL9.8ten sam produkt

Hospital Management System v4.0 was discovered to contain a SQL injection vulnerability in /Hospital-Managemen...