OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. Начиная с версии 5.0.2 и до версии 8.0.0 существует (как минимум) два пути, в которых секретное значение шлюза_api_key отображается клиенту в виде открытого текста. Утечка этих секретных ключей может привести к произвольному перемещению денег или широкому захвату счетов API платежных шлюзов.
Эта уязвимость исправлена в версии 8.0.0.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. From 5.0.2 to before 8.0.0, there are (at least) two paths where the gateway_api_key secret value is rendered to the client in plaintext. These secret keys being leaked could result in arbitrary money movement or broad account takeover of payment gateway APIs. This vulnerability is fixed in 8.0.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
5.0.2
|
8.0.0
|