CVE-2026-40076

Nome do Software Vulnerável e Versões Afetadas OpenMRS Core versões anteriores a 2.7.9 OpenMRS Core versões 2.8.0 a 2.8.5

Descrição O endpoint de upload de módulos 'POST /openmrs/ws/rest/v1/module' está suscetível a um ataque de travessia de caminho Zip Slip. Isso ocorre durante a extração automática de arquivos .omod carregados na função startModule() de WebModuleUtil. O sistema verifica apenas se o caminho completo da entrada começa com .., falhando em normalizar o caminho ou realizar verificações de limite em entradas que começam com web/module/. Consequentemente, um arquivo manipulado contendo entradas como web/module/../../../../malicious.jsp pode fazer com que arquivos sejam gravados fora do diretório de módulos pretendido.

Um invasor autenticado com permissões de upload de módulos pode gravar arquivos arbitrários em locais como a raiz do aplicativo web. Ao carregar um arquivo JSP e solicitá-lo, o invasor pode alcançar a execução remota de código. Além disso, a propriedade de tempo de execução module.allow web admin, destinada a restringir a administração de módulos via web, não é aplicada no caminho de upload da API REST, permitindo que a restrição seja ignorada.

Recomendações Atualize o OpenMRS Core para uma versão posterior a 2.7.8 na linha 2.7.x. Atualize o OpenMRS Core para a versão 2.8.6 ou posterior. Como mitigação temporária, restrinja o acesso ao endpoint 'POST /openmrs/ws/rest/v1/module' para minimizar o risco de exploração.