CRITICAL🇬🇧 English

CVE-2025-63525

Eskalacja uprawnień w Blood Bank Management System 1.0 (delete.php)

CVSS 9.6v3.1pub. 2025-12-01upd. 2026-01-06

Uwierzytelniony użytkownik może wykonywać operacje z podwyższonymi uprawnieniami w aplikacji Blood Bank Management System 1.0. Podatność jest sklasyfikowana jako KRYTYCZNA (CVSS 9.6) z uwagi na możliwość wpływu wykraczającego poza zakres samej aplikacji.

Pokaż oryginał (EN)

An issue was discovered in Blood Bank Management System 1.0 allowing authenticated attackers to perform actions with escalated privileges via crafted request to delete.php.

🤖 Analiza AI
Jak działa

Atakujący, który posiada aktywną sesję użytkownika (dowolnego poziomu), może wysłać spreparowane żądanie HTTP do pliku delete.php. Żądanie to omija właściwą weryfikację uprawnień (CWE-284 — nieprawidłowa kontrola dostępu), pozwalając na wykonanie operacji zarezerwowanych dla kont o wyższych przywilejach. Błąd wynika z braku odpowiedniej walidacji tożsamości i poziomu uprawnień po stronie serwera przed wykonaniem wrażliwych akcji.

Skutki

Uwierzytelniony atakujący może wykonywać nieautoryzowane operacje usuwania danych oraz inne działania zarezerwowane dla administratorów, co może prowadzić do naruszenia integralności i poufności danych przechowywanych w systemie zarządzania bankiem krwi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych, autoryzowanych użytkowników oraz monitorowanie żądań kierowanych do pliku delete.php pod kątem nieautoryzowanych wywołań.

Kogo dotyczy

Blood Bank Management System w wersji 1.0 autorstwa Shridharshukl

Uwagi

Szczegółowy opis podatności wraz z dowodem koncepcji (proof-of-concept) dostępny jest w referencjach pod adresem GitHub (kiwi865/CVEs). Kod źródłowy aplikacji jest publicznie dostępny w repozytorium GitHub (Shridharshukl/Blood-Bank-Management-System), co ułatwia analizę i potencjalne wykorzystanie podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Shridharshukl Blood Bank Management System

    APP
    Shridharshukl
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-63535CRITICAL9.6PL ✓ten sam produkt

SQL Injection i Auth Bypass w Blood Bank Management System 1.0

CVE-2025-63531CRITICAL10.0PL ✓ten sam produkt

SQL Injection z pominięciem uwierzytelnienia w Blood Bank Management System

CVE-2025-63532CRITICAL9.6PL ✓ten sam produkt

SQL Injection w Blood Bank Management System — obejście uwierzytelnienia

CVE-2025-63534HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the login.php...

CVE-2025-63526HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System within the abs.php compo...