CVE-2026-41258 in OpenMRSالمعلومات

الملخص

بحسب VulDB • 15/05/2026

OpenMRS هو منصة نظام السجلات الطبية الإلكترونية مفتوحة المصدر. من الإصدار 2.7.0 وحتى ما قبل 2.7.9، ومن الإصدار 2.8.6، تقوم طريقة `ConceptReferenceRangeUtility.evaluateCriteria()` في OpenMRS Core بتقييم سلاسل المعايير المخزنة في قاعدة البيانات كقوالب Apache Velocity دون أي تكوين للحاجز الرملي (sandbox). يتم تهيئة `VelocityEngine` بخصائص السجل فقط وبدون `noSecureUberspector`، مما يترك `UberspectImpl` الافتراضي ساري المفعول، وهو ما يسمح بالانعكاس غير المقيد للغة Java (Java Reflection) من خلال تعبيرات القالب. يمكن لمستخدم يتمتع بصلاحية "إدارة المفاهيم" (Manage Concepts) تخزين تعبير قالب Velocity ضار في حقل معايير النطاق المرجعي لمفهوم معين. يتم تنفيذ هذا الحمولة تلقائيًا كلما قام مستخدم أو استدعاء واجهة برمجة التطبيقات (API) بمراجعة ملاحظة مقابل المفهوم المتأثر. يكشف سياق Velocity عن `$patient` (كائن الشخص/المريض)، و`$obs` (كائن الملاحظة)، و`$fn` (مثيل `ConceptReferenceRangeUtility` الذي يتمتع بالوصول إلى طبقة خدمات OpenMRS الكاملة). تم إصلاح هذا الثغرة في الإصدارين 2.7.9 و2.8.6.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

18/04/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364207

EPSS

0.00057

KEV

لا

النشاطات

منخفض جدًا

القطاع

Pharma, Hospital, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41258
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41258
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41258/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!