Katalog CVE

CVE-2026-24848

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach 7.0.4 i wcześniejszych, metoda disposeDocument() w pliku EtherFaxActions.php pozwala uwierzytelnionym użytkownikom na zapis dowolnej treści w dowolnych lokalizacjach systemu plików serwera, co może prowadzić do zdalnego wykonania kodu (RCE).

Ocena ryzyka

Wykorzystanie tej podatności może umożliwić atakującym zdalne uruchamianie złośliwego kodu na serwerze, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa danych medycznych.

Rekomendacja

Zaleca się aktualizację OpenEMR do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie aktywności użytkowników i ograniczenie dostępu do krytycznych funkcji aplikacji.

Oryginalny opis (angielski, źródło NVD)

OpenEMR is a free and open source electronic health records and medical practice management application. In 7.0.4 and earlier, the disposeDocument() method in EtherFaxActions.php allows authenticated users to write arbitrary content to arbitrary locations on the server filesystem. This vulnerability can be exploited to achieve Remote Code Execution (RCE) by uploading malicious PHP web shells.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS