CRITICAL🇬🇧 English

CVE-2025-56214

SQL Injection w phpgurukul Hospital Management System 4.0 (parametr username)

CVSS 9.8v3.1pub. 2025-08-25upd. 2026-04-06

phpgurukul Hospital Management System w wersji 4.0 zawiera podatność SQL Injection w pliku index.php, umożliwiającą atakującemu manipulację zapytaniami do bazy danych bez uwierzytelnienia. Ze względu na brak wymagań dotyczących uprawnień i sieciowy charakter ataku, podatność stanowi krytyczne zagrożenie dla każdego wystawionego publicznie systemu.

Pokaż oryginał (EN)

phpgurukul Hospital Management System 4.0 is vulnerable to SQL Injection in index.php via the username parameter.

🤖 Analiza AI
Jak działa

Atakujący przesyła spreparowane dane w parametrze 'username' formularza logowania w pliku index.php, które są włączane do zapytania SQL bez odpowiedniej walidacji lub parametryzacji. Pozwala to na wstrzyknięcie dowolnych instrukcji SQL bezpośrednio do zapytania wykonywanego przez bazę danych. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, odczytać, zmodyfikować lub usunąć poufne dane pacjentów i personelu medycznego, a w sprzyjających warunkach przejąć pełną kontrolę nad systemem lub serwerem bazodanowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W ramach doraźnych działań zaleca się ograniczenie dostępu do systemu wyłącznie do zaufanych sieci, wdrożenie reguł WAF blokujących próby SQL Injection oraz zastąpienie dynamicznych zapytań SQL zapytaniami parametryzowanymi (prepared statements).

Kogo dotyczy

phpgurukul Hospital Management System w wersji 4.0

Uwagi

Podatność została udokumentowana przez badaczy z hptcybersecurity i opublikowana w repozytorium GitHub pod adresem github.com/hptcybersecurity/CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul Hospital Management System

    APP
    Phpgurukul
    4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-56212CRITICAL9.8PL ✓ten sam produkt

SQL Injection w phpgurukul Hospital Management System 4.0 (add-doctor.php)

CVE-2024-51360CRITICAL9.8PL ✓ten sam produkt

RCE w Phpgurukul Hospital Management System v4.0 przez edit-profile.php

CVE-2020-26629CRITICAL9.8PL ✓ten sam produkt

Nieograniczony upload plików w Hospital Management System V4.0

CVE-2023-31498CRITICAL9.8ten sam produkt

A privilege escalation issue was found in PHP Gurukul Hospital Management System In v.4.0 allows a remote atta...

CVE-2022-24263CRITICAL9.8ten sam produkt

Hospital Management System v4.0 was discovered to contain a SQL injection vulnerability in /Hospital-Managemen...