BDU:2022-00334: Уязвимость функции make_task программного обеспечения open-emr openemr , связанная с отсутствием проверки достоверности последовательностей XML-объетов, позволяющая нарушителю проводить атаки основанные на SQL-инъекии

Описание уязвимости Уязвимость функции make_task программного обеспечения open-emr openemr связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить атаки основанные на SQL-инъекии
Вендор Сообщество свободного программного обеспечения
Наименование ПО OpenEMR
Версия ПО до 5.0.1.7
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки CWE-89
Класс уязвимости Уязвимость кода
Дата выявления 17.05.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.open-emr.org/wiki/index.php/OpenEMR_Patches#5.0.1_Patch_.289.2F9.2F18.29
https://github.com/openemr/openemr/commit/3e22d11c7175c1ebbf3d862545ce6fee18f70617
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются