PT-2022-16127 · Apache · Apache Tomcat
Ibacher
·
Publicado
2022-02-22
·
Atualizado
2026-05-04
·
CVE-2022-23612
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenMRS anteriores à 2.1.5
Versões do OpenMRS anteriores à 2.2.1
Versões do OpenMRS anteriores à 2.3.5
Versões do OpenMRS anteriores à 2.4.5
Versões do OpenMRS anteriores à 2.5.3
Descrição
A vulnerabilidade afeta o OpenMRS, um sistema de prontuários médicos, devido a uma falha na sanitização de solicitações GET para
/images e /initfilter/scripts. Isso permite que um invasor acesse qualquer arquivo no sistema que esteja acessível ao ID de usuário sob o qual o OpenMRS está sendo executado. A vulnerabilidade pode ser explorada por meio da exfiltração arbitrária de arquivos.Recomendações
Para versões do OpenMRS anteriores à 2.1.5, atualize para a versão 2.1.5.
Para versões do OpenMRS anteriores à 2.2.1, atualize para a versão 2.2.1.
Para versões do OpenMRS anteriores à 2.3.5, atualize para a versão 2.3.5.
Para versões do OpenMRS anteriores à 2.4.5, atualize para a versão 2.4.5.
Para versões do OpenMRS anteriores à 2.5.3, atualize para a versão 2.5.3.
Como solução temporária, considere restringir o acesso aos pontos de extremidade da API
/images e /initfilter/scripts até que o problema seja resolvido.Usuários de versões mais antigas do Tomcat devem considerar atualizar sua instância do Tomcat para, no mínimo, a versão 7.0.28 para mitigar o risco.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Tomcat