OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0.3 несколько переменных в коде обработки отзыва/напоминаний MedEx объединялись непосредственно в SQL-запросы без параметризации или приведения типов, что позволяло внедрять SQL-код. Версия 8.0.0.3 содержит патч.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.3, several variables in the MedEx recall/reminder processing code are concatenated directly into SQL queries without parameterization or type casting, enabling SQL injection. Version 8.0.0.3 contains a patch.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
8.0.0.3
|
Ссылки 3
https://github.com/openemr/openemr/commit/3d11d2fc1622147d4aa6fbca31a471e7402ff…
security-advisories@github.com
https://github.com/openemr/openemr/releases/tag/v8_0_0_3
security-advisories@github.com
https://github.com/openemr/openemr/security/advisories/GHSA-6vx2-w9hw-prqj
security-advisories@github.com