CVE-2026-33914 in OpenEMRinformación

Resumen

por VulDB • 2026-05-23

OpenEMR es una aplicación gratuita y de código abierto para registros electrónicos de salud y gestión de prácticas médicas. Antes de la versión 8.0.0.3, el módulo PostCalendar contiene una vulnerabilidad de inyección SQL ciega en la función administrativa `categoriesUpdate`. El parámetro POST `dels` se lee mediante `pnVarCleanFromInput()`, que solo elimina etiquetas HTML y no realiza ningún escape de SQL. El valor se interpola directamente en una sentencia SQL `DELETE` en bruto que se ejecuta sin sanitizar a través de `executeStatement()` de Doctrine DBAL. La versión 8.0.0.3 corrige el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-03-24

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353544

CPE

listo

EPSS

0.00425

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!