Blood Bank Management System – CVE-2022-4737

Date de publication : 28/12/2022

Blood Bank management est un système de gestion de banque de sang, développé en PHP.
Une vulnérabilité du type injection SQL dans le fichier login.php permet à un attaquant local, en renseignant des identifiants/mots de passe spécifiquement forgés, de porter atteinte à l’intégrité, la confidentialité et la disponibilité des données.

CVE-2022-4737

[Score CVSS v3.1: 7.3]

Informations

La faille est activement exploitée : Non

Un correctif existe : Non

Une mesure de contournement existe : Non

Risques

Atteinte à l’intégrité des données
Atteinte à la confidentialité des données
Atteinte à la disponibilité

Exploitation

La vulnérabilité exploitée est du type
CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Détails sur l’exploitation
•   Vecteur d’attaque : Réseau.
•   Complexité de l’attaque : Faible.
•   Privilèges nécessaires pour réaliser l’attaque : Aucun.
•   Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
•   L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Sourcecodester Blood Bank Management System 1.0

Solutions ou recommandations

En l'absence de correctifs, il est recommandé d'utiliser un produit alternatif.
Plus d’informations disponibles ici.

Liens

Blood Bank Management System