Vulnerabilidad en la API en el archivo portal/patient/_machine_config.php en el Patient Portal de OpenEMR (CVE-2021-32101)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/05/2021
Última modificación:
11/05/2021
Descripción
El Patient Portal of OpenEMR versión 5.0.2.1, está afectado por un sistema de control de acceso incorrecto en el archivo portal/patient/_machine_config.php. Para explotar la vulnerabilidad, un atacante no autenticado puede registrar una cuenta, sin pasar por la comprobación de permisos de la API de este portal. Luego, el atacante puede manipular y leer los datos de cada paciente registrado
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:open-emr:openemr:5.0.2.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerability
- https://community.open-emr.org/t/openemr-5-0-2-patch-5-has-been-released/15431
- https://community.sonarsource.com/t/openemr-5-0-2-1-command-injection-vulnerability-puts-health-records-at-risk/33592
- https://portswigger.net/daily-swig/healthcare-security-openemr-fixes-serious-flaws-that-lead-to-command-execution-in-patient-portal