Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la API en el archivo portal/patient/_machine_config.php en el Patient Portal de OpenEMR (CVE-2021-32101)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/05/2021
Última modificación:
11/05/2021

Descripción

El Patient Portal of OpenEMR versión 5.0.2.1, está afectado por un sistema de control de acceso incorrecto en el archivo portal/patient/_machine_config.php. Para explotar la vulnerabilidad, un atacante no autenticado puede registrar una cuenta, sin pasar por la comprobación de permisos de la API de este portal. Luego, el atacante puede manipular y leer los datos de cada paciente registrado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:open-emr:openemr:5.0.2.1:*:*:*:*:*:*:*