प्लेटफ़ॉर्म
php
में ठीक किया गया
1.0.1
CVE-2026-5179, SourceCodester Simple Doctors Appointment System 1.0 में SQL इंजेक्शन भेद्यता है। Username तर्क के दुरुपयोग से SQL इंजेक्शन हो सकता है, जिससे रिमोट हमला संभव है। यह भेद्यता /admin/login.php को प्रभावित करती है। संस्करण 1.0-1.0 प्रभावित हैं। कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है।
SourceCodester Simple Doctors Appointment System संस्करण 1.0 में /admin/login.php फ़ाइल में एक SQL इंजेक्शन भेद्यता का पता चला है। यह भेद्यता एक दूरस्थ हमलावर को 'Username' तर्क को हेरफेर करने और सिस्टम के डेटाबेस पर दुर्भावनापूर्ण SQL कोड निष्पादित करने की अनुमति देती है। संभावित प्रभाव गंभीर है, जिसमें उपयोगकर्ता नाम, पासवर्ड, रोगी डेटा और अपॉइंटमेंट रिकॉर्ड जैसे डेटाबेस से संवेदनशील डेटा निकालना शामिल है। इसके अतिरिक्त, एक हमलावर डेटा को संशोधित या हटा सकता है, जिससे सिस्टम की अखंडता और डेटा गोपनीयता से समझौता हो सकता है। शोषण सार्वजनिक होने का तथ्य हमलावरों को भेद्यता का शोषण करने के लिए आवश्यक जानकारी आसानी से प्राप्त करने की अनुमति देकर जोखिम को काफी बढ़ा देता है। कोई आधिकारिक फिक्स उपलब्ध न होने से स्थिति और खराब हो जाती है, जिसके लिए तत्काल शमन उपायों की आवश्यकता होती है।
यह भेद्यता /admin/login.php फ़ाइल में मौजूद है, विशेष रूप से 'Username' तर्क को कैसे संभाला जाता है। एक हमलावर इस तर्क में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है, जिसे तब डेटाबेस पर निष्पादित किया जाता है। शोषण सार्वजनिक होने का तथ्य यह है कि हमले को सुविधाजनक बनाने के लिए उपकरण और तकनीकें उपलब्ध हैं। SQL इंजेक्शन का दूरस्थ निष्पादन हमलावरों को सिस्टम की होस्टिंग लोकेशन के नेटवर्क एक्सेस वाले किसी भी स्थान से भेद्यता का शोषण करने की अनुमति देता है। अपर्याप्त इनपुट सत्यापन या सैनिटाइजेशन इस भेद्यता का मूल कारण है। इस भेद्यता के बारे में जानकारी सार्वजनिक कर दी गई है, जिससे हमलावरों द्वारा इसका शोषण किए जाने की संभावना बढ़ गई है।
Small to medium-sized clinics and healthcare providers using the Simple Doctors Appointment System are at significant risk. Specifically, those running unpatched instances of version 1.0 or those relying solely on default configurations without implementing additional security measures are particularly vulnerable. Shared hosting environments where multiple clients share the same server resources also increase the potential for lateral movement and broader impact.
• php / web:
grep -r "mysql_query" /var/www/html/• generic web:
curl -I 'http://your-target-domain.com/admin/login.php?Username='• generic web:
curl 'http://your-target-domain.com/admin/login.php?Username='; catdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, इसलिए तत्काल शमन में अनधिकृत पहुंच को रोकने के लिए Simple Doctors Appointment System को नेटवर्क से डिस्कनेक्ट करना शामिल है। यदि उपलब्ध हो तो सिस्टम के सुरक्षित संस्करण में अपग्रेड करने की पुरजोर सिफारिश की जाती है। इस बीच, अतिरिक्त सुरक्षा उपायों को लागू किया जा सकता है, जैसे डेटाबेस एक्सेस को प्रतिबंधित करना, फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करना और संदिग्ध गतिविधि के लिए सिस्टम लॉग की लगातार निगरानी करना। अन्य संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने के लिए एक व्यापक सुरक्षा ऑडिट करना महत्वपूर्ण है। संभावित जोखिमों और उठाए गए कदमों के बारे में उपयोगकर्ताओं और रोगियों के साथ संवाद करना भी घटना प्रतिक्रिया का एक महत्वपूर्ण हिस्सा है।
Actualizar a una versión parcheada del sistema de citas médicas. Si no hay una versión disponible, revisar y sanear las entradas del usuario en el archivo login.php, especialmente el campo Username, para prevenir la inyección SQL. Considerar el uso de consultas parametrizadas o un ORM para mitigar el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक प्रकार का हमला है जो हमलावरों को डेटाबेस तक पहुंचने या हेरफेर करने के लिए किसी एप्लिकेशन में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देता है।
इसका मतलब है कि भेद्यता का शोषण करने के तरीके के बारे में जानकारी सार्वजनिक रूप से उपलब्ध है, जिससे हमलावरों के लिए इसका उपयोग करना आसान हो जाता है।
तुरंत सिस्टम को नेटवर्क से डिस्कनेक्ट करें और सुरक्षा अपडेट या अधिक सुरक्षित विकल्प की तलाश करें।
वर्तमान में, डेवलपर द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है।
डेटाबेस एक्सेस को प्रतिबंधित करें, फ़ायरवॉल लागू करें, सिस्टम लॉग की निगरानी करें और सुरक्षा ऑडिट करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।