CVE-2025-57254

An SQL injection vulnerability in user-login.php and index.php of Karthikg1908 Hospital Management System (HMS) 1.0 allows remote attackers to execute arbitrary SQL queries via the username and password POST parameters. The application fails to properly sanitize input before embedding it into SQL queries, leading to unauthorized access or potential data breaches. This can result in privilege escalation, account takeover, or exposure of sensitive medical data.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad de inyección SQL en user-login.PHP y index.PHP de Karthikg1908 Hospital Management System (HMS) 1.0 permite a atacantes remotos ejecutar consultas SQL arbitrarias a través de los parámetros POST de nombre de usuario y contraseña. La aplicación no logra sanear adecuadamente la entrada antes de incrustarla en consultas SQL, lo que lleva a acceso no autorizado o posibles filtraciones de datos. Esto puede resultar en escalada de privilegios, toma de control de cuentas o exposición de datos médicos sensibles.

01 Oct 2025, 20:18

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.5
CWE CWE-89

30 Sep 2025, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-09-30 18:15

Updated : 2026-06-17 09:42


NVD link : CVE-2025-57254

Mitre link : CVE-2025-57254

CVE.ORG link : CVE-2025-57254


JSON object : View

Products Affected

No product.

CWE
CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')