CVE-2026-40076 in OpenMRS
Sumário
de VulDB • 28/05/2026
O OpenMRS Core é uma plataforma de sistema de registros eletrônicos de saúde de código aberto. Nas versões 2.7.8 e anteriores, e nas versões 2.8.0 a 2.8.5, o endpoint de upload de módulos em POST `/openmrs/ws/rest/v1/module` é vulnerável a um ataque de travessia de caminho (path traversal) do tipo Zip Slip. Durante a extração automática dos arquivos .omod enviados em `WebModuleUtil.startModule()`, as entradas ZIP sob `web/module/` são verificadas apenas para ver se o caminho completo da entrada começa com `..`, e o restante do caminho é então concatenado ao caminho de destino sem normalização ou verificação de limites. Portanto, um arquivo compactado elaborado pode incluir entradas como `web/module/../../../../malicious.jsp` e fazer com que arquivos sejam gravados fora do diretório de módulo pretendido.
Um atacante autenticado com acesso ao upload de módulos pode gravar arquivos arbitrários em locais como a raiz da aplicação web e obter execução remota de código (RCE) ao enviar um arquivo JSP e, em seguida, solicitá-lo. O problema é agravado pelo fato de a propriedade de tempo de execução `module.allow_web_admin` ser aplicada no controlador da interface de usuário (UI) legada, mas não no caminho de upload da API REST, portanto, as implantações que dependem dessa propriedade para bloquear a administração de módulos baseada na web permanecem expostas por meio do endpoint REST. Este problema foi corrigido nas versões posteriores à 2.7.8 na linha 2.7.x e na versão 2.8.6 e posteriores.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.