Vulnérabilité dans le logiciel de gestion de dossiers médicaux OpenEMR

Date de publication :

CVE-2020-36243[Score CVSS v3 : 8.8] : Une vulnérabilité de type injection de commandes a été découverte dans le portail patient de OpenEMR. Son exploitation peut permettre à un attaquant distant et authentifié d’envoyer une requête HTTP de type POST afin d’exécuter des commandes systèmes sur la machine hôte.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de commandes systèmes arbitraires.

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation

Composants vulnérables

  • Open EMR v5.0.2.1

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Solution de contournement

  • Aucune solution n’a été proposée pour l’éditeur d’OpenEMP.

  • Plusieurs éléments de remédiation sont disponibles sur  le lien disponible en référence.