OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. Пользователи с ролью «Примечания – мои обращения» могут заполнять формы проверки зрения при приеме пациентов. Ответы на форму отображаются на странице встречи и в истории посещений для пользователей с той же ролью.
Версии до 8.0.0.3 имеют сохраненную уязвимость межсайтового скриптинга (XSS) в функции отображения ответов на формы, позволяющую любому аутентифицированному злоумышленнику с определенной ролью вставлять произвольный код JavaScript в систему путем ввода вредоносных полезных данных в ответы на формы. Код JavaScript позже выполняется любым пользователем с ролью формы при просмотре ответов на формы на страницах обращений к пациентам или в истории посещений. Версия 8.0.0.3 содержит патч.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Users with the `Notes - my encounters` role can fill Eye Exam forms in patient encounters. The answers to the form are displayed on the encounter page and in the visit history for the users with the same role. Versions prior to 8.0.0.3 have a stored cross-site scripting (XSS) vulnerability in the function to display the form answers, allowing any authenticated attacker with the specific role to insert arbitrary JavaScript into the system by entering malicious payloads to the form answers. The JavaScript code is later executed by any user with the form role when viewing the form answers in the patient encounter pages or visit history. Version 8.0.0.3 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
8.0.0.3
|