Daniyar Absadykov

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite o acesso indevido ao endpoint da API “interface/super/manage site files.php”. Não há dados disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o acesso ao endpoint da API “interface/super/manage site files.php”. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, restrinja o acesso ao endpoint interface/super/manage site files.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite um ataque XSS por parte do paciente no arquivo interface/main/finder/finder navigation.php. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, considere desativar o acesso ao arquivo interface/main/finder/finder navigation.php até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite XSS no parâmetro `return page` do arquivo `gacl/admin/acl admin.php`. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, evite usar o parâmetro `return page` no endpoint “gacl/admin/acl admin.php” até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS). Ela afeta o arquivo interface/usergroup/usergroup admin add.php, especificamente o campo `Username`. Essa vulnerabilidade pode ser explorada por meio do endpoint da API “/interface/usergroup/usergroup admin add.php”, permitindo possíveis ataques XSS através da variável `Username`. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, considere desativar a função usergroup admin add.php até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS. Restrinja o acesso ao arquivo interface/usergroup/usergroup admin add.php para minimizar o risco de exploração. Evite usar a variável `Username` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite XSS na ação gacl/admin/acl admin.php. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, considere desativar o acesso à ação gacl/admin/acl admin.php até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite um ataque XSS no parâmetro `acl id` do endpoint da API “gacl/admin/acl admin.php”. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, evite usar o parâmetro `acl id` no endpoint da API “gacl/admin/acl admin.php” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LibreHealth EHR Base versão 2.0.0 **Descrição** A vulnerabilidade permite um ataque XSS de tipo key no arquivo interface/orders/patient match dialog.php. **Recomendações** Para o LibreHealth EHR Base versão 2.0.0, considere desativar o acesso ao arquivo interface/orders/patient match dialog.php até que uma correção esteja disponível.