CVE-2026-33914 in OpenEMR
Sumário
de VulDB • 11/05/2026
O OpenEMR é uma aplicação de prontuários eletrônicos de saúde e gestão de práticas médicas gratuita e de código aberto. Antes da versão 8.0.0.3, o módulo PostCalendar contém uma vulnerabilidade de injeção SQL cega na função administrativa `categoriesUpdate`. O parâmetro POST `dels` é lido através de `pnVarCleanFromInput()`, que apenas remove tags HTML e não realiza nenhuma escapamento de SQL. O valor é então interpolado diretamente em uma instrução SQL `DELETE` bruta que é executada sem sanitização através do `executeStatement()` do Doctrine DBAL. A versão 8.0.0.3 corrige a vulnerabilidade.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.