CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24848

Critical
Published: Translated: NVD NIST

Summary

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach 7.0.4 i wcześniejszych, metoda disposeDocument() w pliku EtherFaxActions.php pozwala uwierzytelnionym użytkownikom na zapis dowolnej treści w dowolnych lokalizacjach systemu plików serwera, co może prowadzić do zdalnego wykonania kodu (RCE).

Risk Assessment

Wykorzystanie tej podatności może umożliwić atakującym zdalne uruchamianie złośliwego kodu na serwerze, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa danych medycznych.

Recommendation

Zaleca się aktualizację OpenEMR do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników i ograniczenie dostępu do krytycznych funkcji aplikacji.

Original NVD description (English source)

OpenEMR is a free and open source electronic health records and medical practice management application. In 7.0.4 and earlier, the disposeDocument() method in EtherFaxActions.php allows authenticated users to write arbitrary content to arbitrary locations on the server filesystem. This vulnerability can be exploited to achieve Remote Code Execution (RCE) by uploading malicious PHP web shells.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS