OpenEMR — это бесплатное приложение для электронных медицинских записей и управления медицинской практикой с открытым исходным кодом. До версии 8.0.0.3 отсутствие авторизации в конечной точке удаления AJAX `interface/forms/procedure_order/handle_deletions.php` позволяет любому аутентифицированному пользователю, независимо от роли, необратимо удалять заказы на процедуры, ответы и образцы, принадлежащие любому пациенту в системе. Версия 8.0.0.3 исправляет проблему.
Показать оригинальное описание (EN)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.3, missing authorization in the AJAX deletion endpoint `interface/forms/procedure_order/handle_deletions.php` allows any authenticated user, regardless of role, to irreversibly delete procedure orders, answers, and specimens belonging to any patient in the system. Version 8.0.0.3 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Open-Emr Openemr
cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:*
|
— |
8.0.0.3
|