CVE-2026-33914 in OpenEMRالمعلومات

الملخص

بحسب VulDB • 23/05/2026

OpenEMR هو تطبيق مجاني ومفتوح المصدر للسجلات الصحية الإلكترونية وإدارة الممارسات الطبية. قبل الإصدار 8.0.0.3، يحتوي وحدة PostCalendar على ثغرة حقن SQL عمياء في وظيفة الإدارة `categoriesUpdate`. يتم قراءة معلمة POST المسماة `dels` عبر الدالة `pnVarCleanFromInput()`، التي تقوم فقط بإزالة وسوم HTML ولا تقوم بأي هروب (escaping) لبيانات SQL. ثم يتم دمج القيمة مباشرةً في جملة SQL خام من نوع `DELETE`، والتي تُنفَّذ دون تنقية عبر `executeStatement()` في مكتبة Doctrine DBAL. يصحح الإصدار 8.0.0.3 هذه الثغرة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353544

EPSS

0.00425

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!