CVE-2025-25929

Nome do Software Vulnerável e Versões Afetadas: Openmrs versão 2.4.3 Build 0ff0ed

Descrição: Existe uma vulnerabilidade de cross-site scripting (XSS) refletido no componente /legacyui/quickReportServlet, permitindo que atacantes executem JavaScript arbitrário no contexto do navegador de um usuário. Isso é realizado injetando um payload manipulado no parâmetro reportType.

Recomendações: Para o Openmrs versão 2.4.3 Build 0ff0ed, como medida temporária, considere restringir o acesso ao componente /legacyui/quickReportServlet até que um patch esteja disponível. Evite utilizar o parâmetro reportType no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.