CRITICAL🇬🇧 English

CVE-2025-63532

SQL Injection w Blood Bank Management System — obejście uwierzytelnienia

CVSS 9.6v3.1pub. 2025-12-01upd. 2025-12-04

W aplikacji Blood Bank Management System 1.0 istnieje podatność SQL injection w komponencie cancel.php, umożliwiająca nieuwierzytelniony dostęp do systemu. Ze względu na krytyczny wynik CVSS 9.6 oraz możliwość całkowitego obejścia mechanizmu uwierzytelnienia, podatność stanowi poważne zagrożenie dla integralności i poufności danych.

Pokaż oryginał (EN)

A SQL injection vulnerability exists in the Blood Bank Management System 1.0 within the cancel.php component. The application fails to properly sanitize user-supplied input in SQL queries, allowing an attacker to inject arbitrary SQL code. By manipulating the search field, an attacker can bypass authentication and gain unauthorized access to the system.

🤖 Analiza AI
Jak działa

Aplikacja nie przeprowadza odpowiedniej sanityzacji danych wprowadzanych przez użytkownika przed włączeniem ich do zapytań SQL. Atakujący może zmanipulować pole wyszukiwania w komponencie cancel.php, wstrzykując dowolny kod SQL. Skutkuje to możliwością obejścia mechanizmu uwierzytelnienia (auth bypass) i uzyskania nieautoryzowanego dostępu do systemu bez znajomości prawidłowych danych logowania.

Skutki

Atakujący posiadający dostęp sieciowy do aplikacji może ominąć uwierzytelnienie i uzyskać nieuprawniony dostęp do systemu zarządzania bankiem krwi, a także odczytać lub zmodyfikować dane przechowywane w bazie danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci oraz wdrożenie reguł WAF blokujących charakterystyczne sekwencje SQL injection w polach wejściowych.

Kogo dotyczy

Blood Bank Management System w wersji 1.0 (Shridharshukl)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Shridharshukl Blood Bank Management System

    APP
    Shridharshukl
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-63525CRITICAL9.6PL ✓ten sam produkt

Eskalacja uprawnień w Blood Bank Management System 1.0 (delete.php)

CVE-2025-63531CRITICAL10.0PL ✓ten sam produkt

SQL Injection z pominięciem uwierzytelnienia w Blood Bank Management System

CVE-2025-63535CRITICAL9.6PL ✓ten sam produkt

SQL Injection i Auth Bypass w Blood Bank Management System 1.0

CVE-2025-63528HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the blooddinf...

CVE-2025-63534HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the login.php...