PT-2022-17317 · Openemr · Openemr
Publicado
2022-03-02
·
Atualizado
2022-03-09
·
CVE-2022-25471
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
OpenEMR versão 6.0.0
Descrição
O problema está relacionado a uma vulnerabilidade de Referência Direta a Objetos Insegura (IDOR). Ela permite que qualquer invasor autenticado acesse e modifique áreas não autorizadas. Isso pode ser feito enviando uma solicitação POST maliciosa para o endpoint da API “/modules/zend modules/public/Installer/register”.
Recomendações
Para o OpenEMR versão 6.0.0, considere restringir o acesso ao endpoint da API “/modules/zend modules/public/Installer/register” até que um patch esteja disponível. Como solução temporária, limite a funcionalidade do módulo
register para impedir modificações não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openemr