OpenEMR bis 8.0.0 eye_mag form_id erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in OpenEMR bis 8.0.0 entdeckt. Sie wurde als problematisch eingestuft. Das betrifft die Funktion eye_mag. Die Bearbeitung des Arguments form_id verursacht erweiterte Rechte.
Die Verwundbarkeit wird als CVE-2026-27943 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es ist kein Exploit verfügbar.
Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Es wurde eine problematische Schwachstelle in OpenEMR bis 8.0.0 entdeckt. Es betrifft die Funktion eye_mag. Durch Beeinflussen des Arguments form_id mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-639 vorgenommen. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
OpenEMR is a free and open source electronic health records and medical practice management application. In versions up to and including 8.0.0, the eye exam (eye_mag) view loads data by `form_id` (or equivalent) without verifying that the form belongs to the current user’s patient/encounter context. An authenticated user can access or edit any patient’s eye exam by supplying another form ID; in some flows the session’s active patient may also be switched. A fix is available on the `main` branch of the OpenEMR GitHub repository.Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 25.02.2026 unter CVE-2026-27943 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Die Schwachstelle lässt sich durch das Einspielen des Patches c87489bf63f2701b634d948279e104f2ed3df1c0 beheben. Dieser kann von github.com bezogen werden.
Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/openemr/openemr/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 6.5
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-639 / CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔒
Patch: c87489bf63f2701b634d948279e104f2ed3df1c0
Timeline
25.02.2026 CVE zugewiesen26.02.2026 Advisory veröffentlicht
26.02.2026 VulDB Eintrag erstellt
26.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-q96x-qw99-6xq9
Status: Bestätigt
CVE: CVE-2026-27943 (🔒)
GCVE (CVE): GCVE-0-2026-27943
GCVE (VulDB): GCVE-100-347940
Eintrag
Erstellt: 26.02.2026 07:13Anpassungen: 26.02.2026 07:13 (66)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.