Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu mMedica firmy Asseco Poland S.A. i koordynował proces ujawniania informacji.
Podatność CVE-2025-9313: Nieuwierzytelniony użytkownik może połączyć się z publicznie dostępną bazą danych, używając dowolnych danych uwierzytelniających. System zapewnia pełny dostęp do bazy danych, wykorzystując wcześniej uwierzytelnione połączenie za pośrednictwem aplikacji mmBackup. Ta luka umożliwia atakującym ominięcie mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do bazy danych zawierającej poufne dane.
Podatność dotyczy programu mMedica w wersjach poniżej 11.9.5.
