Vulnerabilidad en OpenEMR (CVE-2013-10044)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
01/08/2025
Última modificación:
06/08/2025
Descripción
Existe una vulnerabilidad de inyección SQL autenticada en OpenEMR ? 4.1.1 Parche 14 que permite a un atacante con pocos privilegios extraer credenciales de administrador y, posteriormente, escalar los privilegios. Una vez elevados, el atacante puede explotar una falla de carga de archivos sin restricciones para ejecutar código remoto, lo que compromete por completo la aplicación y su sistema host.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/openemr/openemr
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/openemr_sqli_privesc_upload.rb
- https://www.exploit-db.com/exploits/28329
- https://www.exploit-db.com/exploits/28408
- https://www.open-emr.org/
- https://www.vulncheck.com/advisories/openemr-sqli-priv-esc-rce
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/openemr_sqli_privesc_upload.rb
- https://www.exploit-db.com/exploits/28329
- https://www.exploit-db.com/exploits/28408