PT-2024-31869 · Unknown · Hospital Management System
Sourajeet Majumder
·
Publicado
2024-09-26
·
Atualizado
2024-09-30
·
CVE-2024-45983
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Sistema de Gestão Hospitalar do kishan0725, versão 6.3.5
Descrição
Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que um invasor crie um formulário HTML malicioso que envie uma solicitação para excluir o registro de um médico. Ao induzir um usuário administrador autenticado a visitar a página da web especialmente criada, o invasor pode usar o navegador da vítima para fazer solicitações não autorizadas ao endpoint vulnerável, permitindo efetivamente que o invasor execute ações em nome do administrador sem o seu consentimento.
Recomendações
Para a versão 6.3.5, considere implementar mecanismos adequados de proteção contra CSRF, como validação baseada em token, para impedir solicitações não autorizadas. Como solução alternativa temporária, restrinja o acesso à funcionalidade de exclusão de registros de médicos para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hospital Management System