OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0.1 имена треков/элементов из функции Track Anything сохранялись из пользовательского ввода (POST), а затем отображались в диаграммах Dygraph (заголовки/метки) с использованием InnerHTML или его эквивалента без экранирования. Пользователь, который может создавать или редактировать элементы Track Anything, может внедрить сценарий, который запускается, когда любой пользователь просматривает соответствующий график.
Эта уязвимость исправлена в версии 8.0.0.1.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to 8.0.0.1, track/item names from the Track Anything feature are stored from user input (POST) and later rendered in Dygraph charts (titles/labels) using innerHTML or equivalent without escaping. A user who can create or edit Track Anything items can inject script that runs when any user views the corresponding graph. This vulnerability is fixed in 8.0.0.1.
Характеристики атаки
Последствия
Строка CVSS v3.1