آسیبپذیری CVE-2025-63535 باشدت 9.6 یک نقص امنیتی از نوع تزریق SQL در ماژول abs.php سامانه Blood Bank Management System 1.0 است که به دلیل نبود فیلترسازی و اعتبارسنجی صحیح ورودیها ایجاد شده است. مهاجم میتواند با ارسال دادههای مخرب در فیلد جستجو، کوئری SQL برنامه را تغییر داده و به پایگاه داده دسترسی مستقیم پیدا کند. این نقص امکان دور زدن کامل مکانیزم احراز هویت را فراهم کرده و مهاجم بدون داشتن نام کاربری یا رمز عبور میتواند وارد سیستم شود. در سناریوهای پیشرفتهتر، امکان استخراج اطلاعات حساس، تغییر دادهها، حذف رکوردها یا حتی کنترل کامل پایگاه داده نیز وجود دارد. سادگی بهرهبرداری و حساسیت دادههای ذخیرهشده در این سیستم، این آسیبپذیری را به یک تهدید جدی برای سازمانهای استفادهکننده تبدیل میکند.
- HexStrike AI MCP ServerBlood Bank Management System نسخه 1.0
- همه نصبهایی که از فایل abs.php بدون فیلترسازی ورودی استفاده میکنند
- نسخههایی که روی سرورهای LAMP/XAMPP بدون تنظیمات امنیتی اضافی اجرا شدهاند
- تمامی استقرارهایی که دارای قابلیت جستجو (Search) فعال هستند.
- بروزرسانی یا اصلاح کد abs.php جهت استفاده از prepared statements یا parameterized queries
- اعتبارسنجی و پاکسازی ورودیها در تمام فیلدهای دریافت داده از کاربر
- محدودسازی سطح دسترسی پایگاهداده و عدم استفاده از حساب کاربری با سطح دسترسی کامل (root)
- فعالسازی WAF یا فایروال برنامه وب جهت مسدودسازی الگوهای تزریق SQL
- محدود کردن دسترسی به صفحه abs.php یا محافظت آن با احراز هویت
- اجرای پشتیبانگیری منظم برای جلوگیری از از دست رفتن اطلاعات در صورت سوءاستفاده
- بررسی لاگها برای تشخیص تلاشهای مشکوک تزریق SQL.
- 14