OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0 уязвимость обхода авторизации в конечной точке подписи портала пациента позволяла аутентифицированным пользователям портала загружать и перезаписывать подписи поставщиков, устанавливая `type=admin-signature` и указывая любой идентификатор пользователя поставщика. Это потенциально может привести к подделке подписей на медицинских документах, нарушениям законодательства и мошенничеству.
Проблема возникает, когда пользователям портала разрешено изменять подписи поставщиков без надлежащей проверки авторизации. Версия 8.0.0 устраняет проблему.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0, an authorization bypass vulnerability in the patient portal signature endpoint allows authenticated portal users to upload and overwrite provider signatures by setting `type=admin-signature` and specifying any provider user ID. This could potentially lead to signature forgery on medical documents, legal compliance violations, and fraud. The issue occurs when portal users are allowed to modify provider signatures without proper authorization checks. Version 8.0.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1