Vulnerabilidad en OpenEMR (CVE-2026-24898)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

03/03/2026

Última modificación:

04/03/2026

Descripción

OpenEMR es una aplicación de gestión de registros de salud electrónicos y práctica médica de código abierto y gratuita. Antes de la versión 8.0.0, una vulnerabilidad de divulgación de tokens no autenticada en el endpoint de callback de MedEx permite a cualquier visitante no autenticado obtener los tokens de la API de MedEx de la consulta, lo que lleva a un compromiso completo del servicio de terceros, exfiltración de PHI, acciones no autorizadas en la plataforma MedEx y violaciones de HIPAA. La vulnerabilidad existe porque el endpoint omite la autenticación ($ignoreAuth = true) y realiza un inicio de sesión de MedEx cada vez que se proporciona $_POST[&#39;callback_key&#39;], devolviendo la respuesta JSON completa, incluyendo tokens de la API sensibles. Esta vulnerabilidad se ha corregido en la versión 8.0.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto