CRITICAL🇬🇧 English

CVE-2025-63531

SQL Injection z pominięciem uwierzytelnienia w Blood Bank Management System

CVSS 10.0v3.1pub. 2025-12-01upd. 2025-12-02

W systemie Blood Bank Management System 1.0 wykryto podatność SQL injection w komponencie receiverLogin.php, umożliwiającą pominięcie mechanizmu uwierzytelnienia. Atakujący nieuwierzytelniony zdalnie może uzyskać nieautoryzowany dostęp do systemu.

Pokaż oryginał (EN)

A SQL injection vulnerability exists in the Blood Bank Management System 1.0 within the receiverLogin.php component. The application fails to properly sanitize user-supplied input in SQL queries, allowing an attacker to inject arbitrary SQL code. By manipulating the remail and rpassword fields, an attacker can bypass authentication and gain unauthorized access to the system.

🤖 Analiza AI
Jak działa

Aplikacja nie sanityzuje danych wejściowych dostarczanych przez użytkownika przed ich użyciem w zapytaniach SQL. Atakujący może manipulować wartościami pól remail oraz rpassword w formularzu logowania, wstrzykując dowolny kod SQL. W ten sposób logika uwierzytelniania zostaje obejście, a aplikacja przyznaje dostęp bez znajomości prawidłowych danych logowania.

Skutki

Atakujący może całkowicie pominąć uwierzytelnienie i uzyskać nieautoryzowany dostęp do systemu zarządzania bankiem krwi, co może prowadzić do ujawnienia, modyfikacji lub usunięcia wrażliwych danych pacjentów i dawców.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz ograniczenie publicznego dostępu do interfejsu logowania.

Kogo dotyczy

Blood Bank Management System w wersji 1.0 (komponent receiverLogin.php)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Shridharshukl Blood Bank Management System

    APP
    Shridharshukl
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-63525CRITICAL9.6PL ✓ten sam produkt

Eskalacja uprawnień w Blood Bank Management System 1.0 (delete.php)

CVE-2025-63532CRITICAL9.6PL ✓ten sam produkt

SQL Injection w Blood Bank Management System — obejście uwierzytelnienia

CVE-2025-63535CRITICAL9.6PL ✓ten sam produkt

SQL Injection i Auth Bypass w Blood Bank Management System 1.0

CVE-2025-63528HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the blooddinf...

CVE-2025-63534HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the login.php...