OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0 представление для печати формы на основе макета (LBF) принимает «formid» и «visitid» (или «pathientid») из запроса и не проверяет, принадлежит ли форма авторизованному пациенту/встрече текущего пользователя. Аутентифицированный пользователь с доступом к LBF может перечислять идентификаторы форм, а также просматривать или распечатывать формы обращений любого пациента.
Версия 8.0.0 устраняет проблему.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0, the Layout-Based Form (LBF) printable view accepts `formid` and `visitid` (or `patientid`) from the request and does not verify that the form belongs to the current user’s authorized patient/encounter. An authenticated user with LBF access can enumerate form IDs and view or print any patient’s encounter forms. Version 8.0.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1