Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado permite ver la versión del servicio MySQL, nombre de la base de datos y usuario de conexión:

Las vulnerabilidades corresponden a las siguientes:

• SQL Injection: #2267, #2268, #2269, #2271, #2275
• Cross-Site Scripting: #2274
• Full Path Disclosure: #2272