CRITICAL🇬🇧 English

CVE-2026-32238

Command Injection w funkcji backup OpenEMR (wersje przed 8.0.0.2)

CVSS 9.1v3.1pub. 2026-03-19upd. 2026-03-20

OpenEMR w wersjach poprzedzających 8.0.0.2 zawiera podatność typu command injection w module tworzenia kopii zapasowych, możliwą do wykorzystania przez uwierzytelnionych atakujących. Ze względu na krytyczny charakter systemu (elektroniczna dokumentacja medyczna) oraz wysoki wynik CVSS 9.1, podatność stanowi poważne zagrożenie dla bezpieczeństwa danych pacjentów.

Pokaż oryginał (EN)

OpenEMR is a free and open source electronic health records and medical practice management application. Versions prior to 8.0.0.2 contain a Command injection vulnerability in the backup functionality that can be exploited by authenticated attackers. The vulnerability exists due to insufficient input validation in the backup functionality. Version 8.0.0.2 fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych w funkcjonalności backup. Uwierzytelniony atakujący może dostarczyć spreparowane dane zawierające złośliwe polecenia systemowe, które zostaną wykonane przez aplikację w kontekście serwera. Brak odpowiedniego filtrowania lub escapowania danych wejściowych (CWE-78) umożliwia wstrzyknięcie i wykonanie dowolnych poleceń systemowych po stronie serwera.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem serwerowym, w tym dostęp do poufnych danych medycznych pacjentów, możliwość modyfikacji lub usunięcia danych, a także zdalne wykonanie kodu (RCE) z uprawnieniami aplikacji. Wysoki wpływ na poufność, integralność i dostępność systemu potwierdza wektor CVSS.

Mitygacja

Należy niezwłocznie zaktualizować OpenEMR do wersji 8.0.0.2, która zawiera poprawkę eliminującą podatność. Szczegółowe informacje dostępne są w repozytorium GitHub producenta (commit 7bc7bd077a624e205daed17658de41af6070ef73) oraz w oficjalnym security advisory GHSA-6pmc-3xm7-pm86.

Kogo dotyczy

OpenEMR we wszystkich wersjach poprzedzających 8.0.0.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Open Emr Openemr

    APP
    Open-Emr
    < 8.0.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-25146CRITICAL9.6PL ✓ten sam produkt

OpenEMR: Wyciek klucza API bramki płatności do klienta w plaintext

CVE-2026-24898CRITICAL10.0PL ✓ten sam produkt

OpenEMR: ujawnienie tokenów API MedEx bez uwierzytelnienia (Auth Bypass)

CVE-2026-24908CRITICAL9.9PL ✓ten sam produkt

SQL Injection w OpenEMR — narażenie danych PHI przez parametr _sort

CVE-2026-24849CRITICAL9.9PL ✓ten sam produkt

OpenEMR: path traversal umożliwia odczyt dowolnych plików przez uwierzytelnionego użytkownika

CVE-2024-22611CRITICAL9.8PL ✓ten sam produkt

SQL Injection w OpenEMR 7.0.2 — krytyczna podatność w module aptecznym