CVE-2026-24898 in OpenEMRinfo

Zusammenfassung

von VulDB • 14.05.2026

OpenEMR ist eine kostenlose Open-Source-Anwendung für elektronische Gesundheitsakten und das Management von Arztpraxen. Vor Version 8.0.0 ermöglicht eine nicht authentifizierte Token-Offenlegungsanfälligkeit im MedEx-Callback-Endpunkt jedem nicht authentifizierten Besucher, die MedEx-API-Tokens der Praxis zu erhalten, was zu einer vollständigen Kompromittierung des Drittanbieterservice, der Exfiltration von geschützten Gesundheitsinformationen (PHI), unbefugten Aktionen auf der MedEx-Plattform und Verstößen gegen die HIPAA-Vorschriften führt. Die Schwachstelle besteht darin, dass das Endpunkt die Authentifizierung umgeht ($ignoreAuth = true) und bei Vorhandensein von $_POST['callback_key'] eine MedEx-Anmeldung durchführt, wobei die vollständige JSON-Antwort einschließlich sensibler API-Tokens zurückgegeben wird. Diese Schwachstelle wurde in Version 8.0.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

27.01.2026

Veröffentlichung

04.03.2026

Moderieren

akzeptiert

Eintrag

VDB-348630

CPE

bereit

EPSS

0.00081

KEV

nein

Aktivitäten

very low

Sektor

Transportation, Finance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-24898
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-24898
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-24898/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!