Een kritieke kwetsbaarheid, CVE-2025-7754, is ontdekt in het code-projects Patient Record Management System versie 1.0. Dit lek maakt het mogelijk voor een aanvaller om via een SQL-injectie toegang te krijgen tot gevoelige gegevens door misbruik te maken van het bestand /xray_form.php. Dit kan op afstand worden uitgevoerd zonder dat er tussenkomst van de gebruiker nodig is.
De exploit is momenteel openbaar beschikbaar, wat het risico op een aanval aanzienlijk vergroot. Organisaties die dit systeem gebruiken, lopen het risico dat een aanvaller zonder hun medeweten toegang krijgt tot patiëntinformatie.
Overzicht
De kwetsbaarheid bevindt zich in de parameter itr_no die onvoldoende gesaneerd is tegen injectiepogingen. Hierdoor kan een aanvaller databasecommando’s inspuiten die ongeautoriseerde toegang of wijzigingen in gegevens mogelijk maken.
Aanbevelingen
- Controleer of uw versie van het Patient Record Management System wordt geüpdatet naar een recente versie waarin deze kwetsbaarheid is opgelost.
- Implementeer tijdelijke afweermaatregelen zoals web application firewalls (WAF) om kwaadaardige SQL-injectiepogingen te detecteren en te blokkeren.
Bronnen
- VDB-316744 | code-projects Patient Record Management System xray_form.php sql injection
- VDB-316744 | CTI Indicators
- GitHub Exploit Document
- code-projects Official Website
Vraag en Antwoord
Wat is CVE-2025-7754?
CVE-2025-7754 is een beveiligingslek dat SQL-injectie mogelijk maakt in het Patient Record Management System, versie 1.0.
Welke systemen zijn kwetsbaar voor CVE-2025-7754?
Systemen die draaien op code-projects Patient Record Management System versie 1.0 zijn kwetsbaar voor deze aanval.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch vermeld. Raadpleeg de bronlinks en de officiële website van code-projects voor eventuele updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige database-informatie stelen of wijzigingen aanbrengen door exploitatie van de SQL-injectie in /xray_form.php.
