Vulnérabilité dans le logiciel de gestion de dossiers médicaux OpenEMR

Date de publication : 29/09/2022

CVE-2020-36243[Score CVSS v3 : 8.8] : Une vulnérabilité de type injection de commandes a été découverte dans le portail patient de OpenEMR. Son exploitation peut permettre à un attaquant distant et authentifié d’envoyer une requête HTTP de type POST afin d’exécuter des commandes systèmes sur la machine hôte.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de commandes systèmes arbitraires.

Criticité

Score CVSS v3 : 8.8

Existence d’un code d’exploitation

https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerab…

Composants vulnérables

Open EMR v5.0.2.1

CVE

CVE-2020-36243

Solutions ou recommandations

Mise en place de correctifs de sécurité

Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Solution de contournement

Aucune solution n’a été proposée pour l’éditeur d’OpenEMP.
Plusieurs éléments de remédiation sont disponibles sur le lien disponible en référence.

Liens

SonarSource Blog - Code vulnerabilities put health records at risk