PT-2024-16737 · Sourcecodester · Sourcecodester Hospital Management System
Salah Tayeh
·
Publicado
2024-11-11
·
Atualizado
2024-11-18
·
CVE-2024-11073
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gestão Hospitalar SourceCodester versão 1.0
Descrição
Foi identificada uma vulnerabilidade no Sistema de Gestão Hospitalar SourceCodester, afetando uma parte desconhecida do arquivo /vm/patient/delete-account.php. A manipulação do argumento
id leva a uma autorização inadequada, permitindo ataques remotos. Esse problema pode resultar na exclusão não autorizada de contas de pacientes.Recomendações
Atualize para a versão mais recente do Sistema de Gestão Hospitalar SourceCodester para mitigar os riscos.
Como solução temporária, considere restringir o acesso ao endpoint
/vm/patient/delete-account.php até que um patch esteja disponível.Revise os controles de acesso para impedir ações não autorizadas.
Exploit
Correção
Improper Authorization
Incorrect Privilege Assignment
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sourcecodester Hospital Management System