Vulnerabilidad en OpenMRS Appointment Scheduling Module (CVE-2022-4727)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

27/12/2022

Última modificación:

07/11/2023

Descripción

Una vulnerabilidad clasificada como problemática fue encontrada en OpenMRS Appointment Scheduling Module hasta 1.16.x. La función getNotes del archivo api/src/main/java/org/openmrs/module/appointmentscheduling/AppointmentRequest.java del componente Notes Handler afecta a la función getNotes. La manipulación del argumento notes conduce a Cross-Site Scripting. Es posible iniciar el ataque de forma remota. La actualización a la versión 1.17.0 puede solucionar este problema. El nombre del parche es 2ccbe39c020809765de41eeb8ee4c70b5ec49cc8. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-216741.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno