Vulnerabilidad en OpenEMR (CVE-2026-25146)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
03/03/2026
Última modificación:
04/03/2026
Descripción
OpenEMR es una aplicación de gestión de prácticas médicas y registros de salud electrónicos de código abierto y gratuita. Desde la 5.0.2 hasta antes de la 8.0.0, existen (al menos) dos rutas donde el valor secreto gateway_api_key se muestra al cliente en texto plano. La filtración de estas claves secretas podría resultar en movimientos de dinero arbitrarios o una toma de control generalizada de cuentas de las API de pasarelas de pago. Esta vulnerabilidad está corregida en la 8.0.0.
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open-emr:openemr:*:*:*:*:*:*:*:* | 5.0.2 (incluyendo) | 8.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openemr/openemr/blob/6a4e18c5ec73e0c755f6f65b28a9652aded1a58b/interface/patient_file/front_payment.php#L765
- https://github.com/openemr/openemr/blob/6a4e18c5ec73e0c755f6f65b28a9652aded1a58b/portal/portal_payment.php#L537
- https://github.com/openemr/openemr/commit/fe6341496dc82d5b4f5a3f35891bb2e2481f3b25
- https://github.com/openemr/openemr/security/advisories/GHSA-2hq8-wc73-jvvq