OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 7.0.4 оболочка HTTP-клиента OpenEMR (oeHttp/oeHttpRequest) по умолчанию отключает проверку сертификата SSL/TLS («verify: false»), что делает все внешние HTTPS-соединения уязвимыми для атак «человек посередине» (MITM). Это влияет на взаимодействие с государственными API-интерфейсами здравоохранения и настраиваемыми пользователем внешними службами, потенциально раскрывая защищенную медицинскую информацию (PHI).
Версия 7.0.4 устраняет проблему.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 7.0.4, OpenEMR's HTTP client wrapper (`oeHttp`/`oeHttpRequest`) disables SSL/TLS certificate verification by default (`verify: false`), making all external HTTPS connections vulnerable to man-in-the-middle (MITM) attacks. This affects communication with government healthcare APIs and user-configurable external services, potentially exposing Protected Health Information (PHI). Version 7.0.4 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
7.0.4
|