CVE-2025-32794

Nome do Software Vulnerável e Versões Afetadas Versões do OpenEMR anteriores à 7.0.3.4

Descrição Uma vulnerabilidade de cross-site scripting (XSS) armazenado permite que qualquer usuário autenticado com privilégios de criação de pacientes injete código JavaScript arbitrário no sistema ao inserir payloads maliciosos nos campos First e Last Name durante o registro de pacientes. Este código é executado posteriormente ao visualizar o atendimento do paciente em Orders → Procedure Orders.

Recomendações Para versões anteriores à 7.0.3.4, atualize para a versão 7.0.3.4 para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo de registro de pacientes para minimizar o risco de exploração. Evite usar os campos First e Last Name no processo de registro de pacientes até que o problema seja resolvido.