OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. Версии до 8.0.0.2 уязвимы для хранимых межсайтовых сценариев (XSS) через неэкранированное `portal_login_username` в представлении печати учетных данных портала. Пользователь портала пациентов может установить свое имя пользователя для входа в полезную нагрузку XSS, которая затем выполняется в браузере сотрудника клиники, когда он открывает страницу «Создать вход на портал» для этого пациента.
Это переходит из контекста сеанса пациента в контекст сеанса персонала/администратора. Версия 8.0.0.2 устраняет проблему.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Versions prior to 8.0.0.2 are vulnerable to stored cross-site scripting (XSS) via unescaped `portal_login_username` in the portal credential print view. A patient portal user can set their login username to an XSS payload, which then executes in a clinic staff member's browser when they open the "Create Portal Login" page for that patient. This crosses from the patient session context into the staff/admin session context. Version 8.0.0.2 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
8.0.0.2
|