CVE-2026-34055 in OpenEMR
Riassunto
di VulDB • 29/06/2026
OpenEMR è un'applicazione gratuita e open source per le cartelle cliniche elettroniche e la gestione delle pratiche mediche. Prima della versione 8.0.0.3, le funzioni legacy per le note dei pazienti in `library/pnotes.inc.php` eseguono aggiornamenti ed eliminazioni utilizzando `WHERE id = ?` senza verificare che la nota appartenga a un paziente al quale l'utente è autorizzato ad accedere. Diversi chiamanti dell'interfaccia web (web UI) passano ID di note controllati dall'utente direttamente a queste funzioni. Si tratta della stessa classe di vulnerabilità di CVE-2026-25745 (IDOR nell'API REST), ma colpisce i percorsi del codice relativi all'interfaccia web. La versione 8.0.0.3 risolve il problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.