OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. В версиях до 8.0.0 включительно конечная точка обновления сообщения/заметки (например, PUT или POST) обновляется только по идентификатору сообщения/заметки и не проверяет, принадлежит ли сообщение текущему пациенту (или что пользователю разрешено редактировать записи этого пациента). Аутентифицированный пользователь с разрешением на заметки может изменять сообщения любого пациента, указав другой идентификатор сообщения.
Коммит 92a2ff9eaaa80674b3a934a6556e35e7aded5a41 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. In versions up to and including 8.0.0, the message/note update endpoint (e.g. PUT or POST) updates by message/note ID only and does not verify that the message belongs to the current patient (or that the user is allowed to edit that patient’s notes). An authenticated user with notes permission can modify any patient’s messages by supplying another message ID. Commit 92a2ff9eaaa80674b3a934a6556e35e7aded5a41 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
<= 8.0.0
|