CVE-2026-33914 in OpenEMRinformação

Sumário

de VulDB • 11/05/2026

O OpenEMR é uma aplicação de prontuários eletrônicos de saúde e gestão de práticas médicas gratuita e de código aberto. Antes da versão 8.0.0.3, o módulo PostCalendar contém uma vulnerabilidade de injeção SQL cega na função administrativa `categoriesUpdate`. O parâmetro POST `dels` é lido através de `pnVarCleanFromInput()`, que apenas remove tags HTML e não realiza nenhuma escapamento de SQL. O valor é então interpolado diretamente em uma instrução SQL `DELETE` bruta que é executada sem sanitização através do `executeStatement()` do Doctrine DBAL. A versão 8.0.0.3 corrige a vulnerabilidade.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353544

CPE

pronto

EPSS

0.00425

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!