Inyección de código en ConceptReferenceRange de OpenMRS
Las siguientes versiones de paquete org.openmrs.api:openmrs-api:
- Desde la 2.7.0 (incluida) hasta la 2.7.9 (no incluida);
- Desde la 2.8.0 (incluida) hasta la 2.8.6 (no incluida).
snomi y Volcore han reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código remoto y escalar privilegios.
Actualizar a alguna de las siguientes versiones: 2.7.9 o 2.8.6.
CVE-2026-41258: el método ConceptReferenceRangeUtility.evaluateCriteria() en OpenMRS Core procesa las cadenas de criterios almacenadas en la base de datos como plantillas de Apache Velocity sin aplicar ningún mecanismo de aislamiento o sandboxing. Esto permite que un usuario con el privilegio Manage Concepts introduzca expresiones Velocity maliciosas en el campo de criterios de rango de referencia de un concepto. Al ser evaluadas directamente por el sistema, estas plantillas se ejecutan con los mismos permisos que la aplicación. Como resultado, un atacante podría conseguir la ejecución remota de código persistente y escalar privilegios dentro del sistema. Además, esta vulnerabilidad facilita la exfiltración de información de salud protegida (PHI), comprometiendo la confidencialidad de los datos clínicos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-41258 | Crítica | No | OpenMRS |
