CVE-2020-36243

**Nome do software vulnerável e versões afetadas:

OpenEMR versão 5.0.2.1

Descrição:

O Portal do Paciente do OpenEMR está afetado por uma vulnerabilidade de injeção de comando no endpoint da API /interface/main/backup.php. Um invasor autenticado pode explorar essa vulnerabilidade enviando uma solicitação POST que execute comandos arbitrários do sistema operacional por meio de metacaracteres de shell.

Recomendações:

Para o OpenEMR versão 5.0.2.1, considere restringir o acesso ao endpoint /interface/main/backup.php até que uma correção esteja disponível. Como solução temporária, limite a funcionalidade do recurso de backup para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.