Gerben Kleijn

**Nome do software vulnerável e versões afetadas** OpenClinic versão 0.8.2 **Descrição** A vulnerabilidade permite que usuários não autenticados acessem os resultados de exames médicos de qualquer paciente, o que pode resultar na divulgação de Informações de Saúde Protegidas (PHI) armazenadas no aplicativo. Isso pode ser feito por meio de uma solicitação direta ao URI “/tests/”. **Recomendações** Para a versão 0.8.2 do OpenClinic, considere restringir o acesso ao URI “/tests/” até que uma correção esteja disponível. Como solução temporária, implemente mecanismos de autenticação adequados para impedir o acesso não autenticado aos resultados de exames médicos dos pacientes.

**Nome do software vulnerável e versões afetadas** OpenClinic versão 0.8.2 **Descrição** O problema é uma vulnerabilidade XSS armazenada no arquivo lib/Check.php, que permite que usuários forcem ações em nome de outros usuários. **Recomendações** Para a versão 0.8.2 do OpenClinic, considere restringir o acesso ao arquivo lib/Check.php até que uma correção esteja disponível. Como solução temporária, evite usar as funcionalidades do aplicativo que dependem desse arquivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenClinic versão 0.8.2 **Descrição** A vulnerabilidade permite que usuários autenticados com privilégios significativos enviem arquivos maliciosos, como web shells em PHP, para o endpoint `medical/test new.php`, o que pode levar à execução de código arbitrário no servidor da aplicação. **Recomendações** Para a versão 0.8.2 do OpenClinic, considere desativar a funcionalidade de upload de arquivos em `medical/test new.php` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a este endpoint para minimizar o risco de upload de arquivos maliciosos.