Vulnerabilidad en NOSH 4a5cfdb (CVE-2023-24065)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/01/2023
Última modificación:
28/03/2025
Descripción
NOSH 4a5cfdb permite almacenar XSS a través de la página de creación de usuario. Por ejemplo, un nombre (de un médico, asistente o usuario de facturación) puede tener una carga útil de JavaScript que se ejecuta al visitar la página /users/2/1. Esto puede permitir a los atacantes robar información médica protegida porque el producto es para gráficos de salud.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nosh_chartingsystem_project:nosh_chartingsystem:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/abbisQQ/e0967d5b8355087c8e224bdd1ace3bf3
- https://github.com/shihjay2/docker-nosh
- https://github.com/shihjay2/nosh2/issues/202
- https://github.com/shihjay2/nosh2/tree/4a5cfdbd73f6a2ab5ee43a33d173c46fe0271533
- https://noshemr.wordpress.com
- https://gist.github.com/abbisQQ/e0967d5b8355087c8e224bdd1ace3bf3
- https://github.com/shihjay2/docker-nosh
- https://github.com/shihjay2/nosh2/issues/202
- https://github.com/shihjay2/nosh2/tree/4a5cfdbd73f6a2ab5ee43a33d173c46fe0271533
- https://noshemr.wordpress.com