CVE-2026-33918 in OpenEMR
要約
〜によって VulDB • 2026年06月04日
OpenEMRは、フリーかつオープンソースの電子健康記録(EHR)および医療業務管理アプリケーションです。バージョン8.0.0.3より前では、請求書ファイルのダウンロードエンドポイント `interface/billing/get_claim_file.php` は、呼び出し元が有効なセッションおよびCSRFトークンを保持していることのみを確認し、ACL(アクセス制御リスト)権限のチェックは行いませんでした。これにより、請求権限の有無にかかわらず、認証済みOpenEMRユーザーであれば誰でも、機密保護情報(PHI)を含む電子請求バッチファイルをダウンロードし、恒久的に削除することが可能でした。バージョン8.0.0.3でこの問題が修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.