Plataforma
other
Componente
le-yan-dental-management-system
Corregido en
2.8.6
Se ha identificado una vulnerabilidad de inyección SQL en el sistema de gestión dental Le-yan. Esta falla permite a un atacante remoto no autenticado inyectar comandos SQL en el campo de entrada de la página de inicio de sesión, comprometiendo la seguridad del sistema. Las versiones afectadas son 2.8.5 a 2.8.5. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por el proveedor.
La inyección SQL en Le-yan Dental Management System representa un riesgo crítico para la confidencialidad, integridad y disponibilidad de los datos. Un atacante exitoso podría obtener acceso no autorizado a la base de datos, permitiéndole extraer información sensible de pacientes, modificar registros, o incluso tomar control total del sistema. La capacidad de ejecutar comandos arbitrarios podría llevar a la interrupción del servicio y la pérdida de datos. Dada la naturaleza crítica de la información gestionada por sistemas dentales, como datos de pacientes y registros financieros, el impacto de esta vulnerabilidad es considerable.
Esta vulnerabilidad fue publicada el 14 de enero de 2022. La alta puntuación CVSS (9.8) indica un riesgo significativo. No se ha confirmado la explotación activa en campañas conocidas, pero la facilidad de explotación y el impacto potencial la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas para detectar cualquier actividad sospechosa.
Dental clinics and practices utilizing the Le-yan Dental Management System, particularly those running version 2.8.5, are at significant risk. Smaller clinics with limited security expertise and those relying on default configurations are especially vulnerable. Shared hosting environments where multiple dental practices share the same server infrastructure also increase the potential for lateral movement and broader impact.
• linux / server: Monitor database logs for unusual SQL queries originating from the login page. Use auditd to track access to sensitive database tables.
auditctl -w /var/log/mysql/error.log -p wa -k sql_injection• generic web: Use curl to test the login endpoint with various SQL injection payloads. Check for error messages indicating SQL syntax errors.
curl -X POST -d "username=admin' UNION SELECT 1,2,3--&password=password" http://example.com/logindisclosure
Estado del Exploit
EPSS
3.16% (87% percentil)
Vector CVSS
La mitigación inmediata de esta vulnerabilidad requiere la aplicación de parches de seguridad proporcionados por el proveedor de Le-yan Dental Management System. Si la actualización no es posible de forma inmediata, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en la página de inicio de sesión. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SQL puede proporcionar una capa adicional de protección. Monitorear los logs del sistema en busca de patrones sospechosos de inyección SQL es crucial para la detección temprana.
Actualizar el sistema de gestión dental Le-yan a una versión parcheada que solucione la vulnerabilidad de inyección SQL. Contactar al proveedor para obtener la actualización o seguir sus instrucciones de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-22055 is a critical SQL Injection vulnerability in Le-yan Dental Management System versions 2.8.5–2.8.5. An attacker can inject SQL commands through the login page to gain administrator access.
If you are using Le-yan Dental Management System version 2.8.5, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the Le-yan Dental Management System. Until then, implement input validation and WAF rules as temporary mitigations.
While no confirmed active exploitation campaigns have been publicly reported, the ease of exploitation makes it a likely target for attackers.
Refer to the vendor's website or security mailing list for the official advisory regarding CVE-2022-22055.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.