CVE-2026-33914 in OpenEMR
الملخص
بحسب VulDB • 23/05/2026
OpenEMR هو تطبيق مجاني ومفتوح المصدر للسجلات الصحية الإلكترونية وإدارة الممارسات الطبية. قبل الإصدار 8.0.0.3، يحتوي وحدة PostCalendar على ثغرة حقن SQL عمياء في وظيفة الإدارة `categoriesUpdate`. يتم قراءة معلمة POST المسماة `dels` عبر الدالة `pnVarCleanFromInput()`، التي تقوم فقط بإزالة وسوم HTML ولا تقوم بأي هروب (escaping) لبيانات SQL. ثم يتم دمج القيمة مباشرةً في جملة SQL خام من نوع `DELETE`، والتي تُنفَّذ دون تنقية عبر `executeStatement()` في مكتبة Doctrine DBAL. يصحح الإصدار 8.0.0.3 هذه الثغرة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.