OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. В версиях до 8.0.0 включительно представление обследования глаз (eye_mag) загружает данные по «form_id» (или эквивалентному) без проверки принадлежности формы к контексту пациента/встречи текущего пользователя. Аутентифицированный пользователь может получить доступ к результатам обследования глаз любого пациента или отредактировать их, указав другой идентификатор формы; в некоторых потоках также можно переключить активного пациента сеанса.
Исправление доступно в основной ветке репозитория OpenEMR GitHub.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. In versions up to and including 8.0.0, the eye exam (eye_mag) view loads data by `form_id` (or equivalent) without verifying that the form belongs to the current user’s patient/encounter context. An authenticated user can access or edit any patient’s eye exam by supplying another form ID; in some flows the session’s active patient may also be switched. A fix is available on the `main` branch of the OpenEMR GitHub repository.
Характеристики атаки
Последствия
Строка CVSS v3.1