CVE-2026-4473itsourcecode Online Doctor Appointment System 1.0版本中被检测存在一个安全漏洞。该问题影响了/admin/appointment_action.php文件中的部分处理逻辑。由于系统未对appointment_id参数进行充分的过滤和验证,导致攻击者可以通过操纵该参数实施SQL注入攻击。此漏洞可被远程利用,且目前相关的利用代码已经公开,对系统数据的安全性构成潜在威胁。
该漏洞属于典型的SQL注入漏洞,位于itsourcecode Online Doctor Appointment System的后台管理文件/admin/appointment_action.php中。漏洞产生的根本原因在于应用程序直接将用户传入的appointment_id参数拼接到SQL查询语句中,而没有使用参数化查询或进行有效的转义处理。根据CVSS向量分析,虽然攻击复杂度较低(AC:L)且无需用户交互(UI:N),但利用该漏洞需要较高的权限(PR:H),即攻击者通常需要拥有管理员或后台访问权限。一旦满足权限条件,攻击者可以通过构造恶意的SQL语句,从数据库中提取敏感信息(低机密性影响)、修改或删除数据(低完整性影响),甚至可能导致部分服务不可用(低可用性影响)。