CVE-2026-33914 in OpenEMR
Resumen
por VulDB • 2026-05-23
OpenEMR es una aplicación gratuita y de código abierto para registros electrónicos de salud y gestión de prácticas médicas. Antes de la versión 8.0.0.3, el módulo PostCalendar contiene una vulnerabilidad de inyección SQL ciega en la función administrativa `categoriesUpdate`. El parámetro POST `dels` se lee mediante `pnVarCleanFromInput()`, que solo elimina etiquetas HTML y no realiza ningún escape de SQL. El valor se interpola directamente en una sentencia SQL `DELETE` en bruto que se ejecuta sin sanitizar a través de `executeStatement()` de Doctrine DBAL. La versión 8.0.0.3 corrige el problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.