PT-2025-45583 · Openclinic · Openclinica Community Edition
Mikecole-Mg
·
Publicado
2025-11-09
·
Atualizado
2025-12-02
·
CVE-2025-12921
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
OpenClinica Community Edition versões até 3.12.2/3.13
Descrição
Existe uma falha no OpenClinica Community Edition que permite injeção de XML. Este problema está relacionado ao processamento do argumento
xml file no endpoint /ImportCRFData?action=confirm do componente CRF Data Import. A exploração bem-sucedida pode ocorrer remotamente. Os detalhes do exploit foram divulgados publicamente.Recomendações
Versões anteriores a 3.12.2/3.13 devem ser atualizadas.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclinica Community Edition