OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0.1 функция отслеживания файлов претензий предоставляет конечную точку AJAX, которая возвращает метаданные заявок на выставление счетов (идентификаторы заявок, информацию о плательщике, журналы передачи). Конечная точка не применяет тот же список управления доступом, что и основной рабочий процесс выставления счетов и претензий, поэтому прошедшие проверку подлинности пользователи без соответствующих разрешений на выставление счетов могут получить доступ к этим данным.
Эта уязвимость исправлена в версии 8.0.0.1.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to 8.0.0.1, the Claim File Tracker feature exposes an AJAX endpoint that returns billing claim metadata (claim IDs, payer info, transmission logs). The endpoint does not enforce the same ACL as the main billing/claims workflow, so authenticated users without appropriate billing permissions can access this data. This vulnerability is fixed in 8.0.0.1.
Характеристики атаки
Последствия
Строка CVSS v3.1