W aplikacji Blood Bank Management System 1.0 istnieje podatność SQL injection w komponencie cancel.php, umożliwiająca nieuwierzytelniony dostęp do systemu. Ze względu na krytyczny wynik CVSS 9.6 oraz możliwość całkowitego obejścia mechanizmu uwierzytelnienia, podatność stanowi poważne zagrożenie dla integralności i poufności danych.
▸ Pokaż oryginał (EN)
A SQL injection vulnerability exists in the Blood Bank Management System 1.0 within the cancel.php component. The application fails to properly sanitize user-supplied input in SQL queries, allowing an attacker to inject arbitrary SQL code. By manipulating the search field, an attacker can bypass authentication and gain unauthorized access to the system.
Aplikacja nie przeprowadza odpowiedniej sanityzacji danych wprowadzanych przez użytkownika przed włączeniem ich do zapytań SQL. Atakujący może zmanipulować pole wyszukiwania w komponencie cancel.php, wstrzykując dowolny kod SQL. Skutkuje to możliwością obejścia mechanizmu uwierzytelnienia (auth bypass) i uzyskania nieautoryzowanego dostępu do systemu bez znajomości prawidłowych danych logowania.
Atakujący posiadający dostęp sieciowy do aplikacji może ominąć uwierzytelnienie i uzyskać nieuprawniony dostęp do systemu zarządzania bankiem krwi, a także odczytać lub zmodyfikować dane przechowywane w bazie danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci oraz wdrożenie reguł WAF blokujących charakterystyczne sekwencje SQL injection w polach wejściowych.
Blood Bank Management System w wersji 1.0 (Shridharshukl)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NShridharshukl Blood Bank Management System
APPShridharshukl1.0
Powiązane podatności
Eskalacja uprawnień w Blood Bank Management System 1.0 (delete.php)
SQL Injection z pominięciem uwierzytelnienia w Blood Bank Management System
SQL Injection i Auth Bypass w Blood Bank Management System 1.0
A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the blooddinf...
A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the login.php...