У березні 2026 року оприлюднено критичну уразливість безпеки (CVE-2026-26704), яка стосується системи Pharmacy Point of Sale System версії 1.0. Уразливість дозволяє атакуючим експлуатувати SQL injection, що створює значний ризик для IT-інфраструктури аптечних POS-систем.
Як наслідок, адміністратори систем та розробники мають звернути увагу на цю проблему, щоб запобігти серйозному впливу на кібербезпеку бізнесу та даних пацієнтів.
Що сталося
У системі Pharmacy Point of Sale System v1.0 виявлена критична уразливість SQL injection у файлі /pharmacy/view_category.php. Атакуючі можуть виконати довільні SQL-запити до бази даних без автентифікації чи взаємодії з користувачем.
Коли та як можлива атака
Експлуатація уразливості можлива віддалено без знань облікових даних. Достатньо надіслати спеціально сформований запит до /pharmacy/view_category.php — це є вектор атаки з найвищим рівнем ризику для систем.
Чому це важливо
SQL injection такого рівня дозволяє отримати повний доступ до даних, змінювати або знищувати інформацію, та потенційно повністю вивести бізнес з ладу. Порушення кібербезпеки в медичному секторі становить критичну проблему для всіх учасників IT-інфраструктури.
Рекомендації
Адміністраторам систем та DevOps слід:
1. Негайно перевірити наявність оновлень або патчів безпеки для Pharmacy Point of Sale System.
2. Відключити публічний доступ до вразливого компоненту, якщо оновлення неможливе. 3. Посилити моніторинг SQL-логів для фіксації підозрілих дій. 4. Оцінити ризик для систем і терміново впровадити оновлення безпеки.Технічні деталі
Уразливість: SQL injection у /pharmacy/view_category.php
Версія: Pharmacy Point of Sale System v1.0CVSS 3.1: 9.8 (CRITICAL) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HСтатус: проаналізовано (Офіційне джерело)Цей допис поки що не має жодних доповнень від автора/ки.
