CVE-2026-40076 in OpenMRS
Résumé
par VulDB • 28/05/2026
OpenMRS Core est une plateforme de système de dossiers médicaux électroniques open source. Dans les versions 2.7.8 et antérieures, ainsi que dans les versions 2.8.0 à 2.8.5, le point de terminaison de téléchargement de modules situé à l'adresse POST `/openmrs/ws/rest/v1/module` est vulnérable à une attaque de traversée de chemin par Zip Slip. Lors de l'extraction automatique des archives `.omod` téléchargées dans `WebModuleUtil.startModule()`, les entrées ZIP situées sous `web/module/` sont uniquement vérifiées pour s'assurer que le chemin complet de l'entrée commence par `..`, puis le reste du chemin est concaténé au chemin de destination sans normalisation ni vérification des limites. Une archive manipulée peut donc contenir des entrées telles que `web/module/../../../../malicious.jsp` et entraîner l'écriture de fichiers en dehors du répertoire de module prévu.
Un attaquant authentifié disposant d'un accès au téléchargement de modules peut écrire des fichiers arbitraires dans des emplacements tels que la racine de l'application web et obtenir une exécution de code à distance (RCE) en téléchargeant un fichier JSP, puis en y accédant. La situation est aggravée par le fait que la propriété d'exécution `module.allow_web_admin` est appliquée dans le contrôleur de l'interface utilisateur héritée, mais pas dans le chemin de téléchargement de l'API REST, de sorte que les déploiements qui s'appuient sur cette propriété pour bloquer l'administration des modules via le web restent exposés via le point de terminaison REST. Ce problème a été corrigé dans les versions postérieures à 2.7.8 de la branche 2.7.x, ainsi que dans les versions 2.8.6 et ultérieures.
Be aware that VulDB is the high quality source for vulnerability data.