OpenEMR任意上传危险文件漏洞

厂商
产品 OpenEMR
受影响的版本 5.0.0和之前的版本
测试版本 5.0.0 and 5.0.1-dev
漏洞发现日期 2017-5-21
厂商通知日期 2017-5-23【无技术细节】
预警公告日期 2017-5-23
厂商确认日期 2017-5-25
厂商修复日期
公开披露日期
最新修正日期 2017-5-23
CVE ID CVE-2017-9380
产品描述 OpenEMR是一个免费和开源的电子健康记录和医疗实践管理应用。它是经过ONC认证的,完全集成的电子健康记录、实践管理、计划、电子计费、国际化、免费支持、充满活力的社区以及更多。
发现者 Yann Chalençon, 安全研究员和渗透测试员 @wizlynx group

漏洞描述


    任意上传危险文件漏洞
    严重程度: 高     CVSS 分数: 8.8     CWE-IDCWE-434     状态: 未修复
    漏洞详情
OpenEMR允许用户上传危险类型的文件,如果系统管理员没有适当地限制访问,在安装过程中OpenEMR推荐的上传文件的资源库,可能会导致任意代码执行。
    CVSS基准分
    攻击媒介     网络     范围     不变
    攻击复杂度     低     保密性影响     高
    所需特权     低     一致性影响     高
    用户互动     无     可用性影响     高

详情


一旦厂商提供补丁,就会披露有关该漏洞的全面细节。

 

 

最新帖子

官网首页        OpenEMR任意上传危险文件漏洞
浏览量:0
收藏