CRITICAL🇬🇧 English

CVE-2025-63535

SQL Injection i Auth Bypass w Blood Bank Management System 1.0

CVSS 9.6v3.1pub. 2025-12-01upd. 2025-12-03

W systemie Blood Bank Management System 1.0 wykryto podatność typu SQL injection w komponencie abs.php, umożliwiającą obejście uwierzytelnienia i nieuprawniony dostęp do systemu. Krytyczny poziom CVSS 9.6 wynika z możliwości zdalnego wykorzystania bez konieczności posiadania uprawnień administratora.

Pokaż oryginał (EN)

A SQL injection vulnerability exists in the Blood Bank Management System 1.0 within the abs.php component. The application fails to properly sanitize usersupplied input in SQL queries, allowing an attacker to inject arbitrary SQL code. By manipulating the search field, an attacker can bypass authentication and gain unauthorized access to the system.

🤖 Analiza AI
Jak działa

Aplikacja nie przeprowadza właściwej sanityzacji danych wprowadzanych przez użytkownika przed umieszczeniem ich w zapytaniach SQL. Atakujący może manipulować polem wyszukiwania, wstrzykując dowolny kod SQL. W rezultacie możliwe jest ominięcie mechanizmu uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do systemu bez znajomości prawidłowych poświadczeń.

Skutki

Atakujący może ominąć uwierzytelnienie i uzyskać nieautoryzowany dostęp do systemu, a także odczytywać lub modyfikować dane przechowywane w bazie danych (wysokie zagrożenie poufności i integralności danych).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W ramach doraźnego zabezpieczenia zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz walidacji i sanityzacji danych wejściowych po stronie serwera. Do czasu wydania poprawki rozważyć ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci.

Kogo dotyczy

Blood Bank Management System w wersji 1.0 (komponent abs.php), autorstwa Shridharshukl

Uwagi

Podatność dotyczy oprogramowania o charakterze open-source dostępnego publicznie na GitHub. Wektor ataku sieciowy (AV:N) bez wymogu interakcji użytkownika (UI:N) przy niskich uprawnieniach (PR:L) sprawia, że próg wejścia dla atakującego jest bardzo niski.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Shridharshukl Blood Bank Management System

    APP
    Shridharshukl
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-63531CRITICAL10.0PL ✓ten sam produkt

SQL Injection z pominięciem uwierzytelnienia w Blood Bank Management System

CVE-2025-63532CRITICAL9.6PL ✓ten sam produkt

SQL Injection w Blood Bank Management System — obejście uwierzytelnienia

CVE-2025-63525CRITICAL9.6PL ✓ten sam produkt

Eskalacja uprawnień w Blood Bank Management System 1.0 (delete.php)

CVE-2025-63528HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the blooddinf...

CVE-2025-63533HIGH8.5ten sam produkt

A cross-site scripting (XSS) vulnerability exists in the Blood Bank Management System 1.0 within the updatepro...

CVE-2025-63535 — SQL Injection i Auth Bypass w Blood Bank Management System 1.0 — CRITICAL 9.6 | CVEbaza.pl