CVE-2026-33914 in OpenEMR
要約
〜によって VulDB • 2026年05月23日
OpenEMRは、フリーかつオープンソースの電子健康記録および医療業務管理アプリケーションです。バージョン8.0.0.3より前では、PostCalendarモジュールの`categoriesUpdate`管理関数に、盲型SQLインジェクション脆弱性が存在します。`dels` POSTパラメータは`pnVarCleanFromInput()`を介して読み込まれますが、この関数はHTMLタグのみを除去し、SQLエスケープは行いません。その後、その値はDoctrine DBALの`executeStatement()`を介して、サニタイズ処理されずに実行される生SQLの`DELETE`文に直接挿入されます。バージョン8.0.0.3でこの問題は修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.