OpenMRS Appointment Scheduling Module до 1.16.x Notes AppointmentRequest.java getNotes notes межсайтовый скриптинг
В проблемные обнаружена уязвимость, классифицированная как OpenMRS Appointment Scheduling Module до 1.16.x. Затронута функция getNotes
файла api/src/main/java/org/openmrs/module/appointmentscheduling/AppointmentRequest.java компонента Notes Handler. Определение CWE для уязвимости следующее CWE-79. Консультация представлена на сайте github.com.
Эта уязвимость однозначно идентифицируется как CVE-2022-4727. Атака может быть осуществлена удаленно. Имеются технические подробности. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1059.007 для этой проблемы.
Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.
Обновление до версии 1.17.0 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Название патча следующее 2ccbe39c020809765de41eeb8ee4c70b5ec49cc8. Исправление готово для загрузки по адресу github.com. Рекомендуется обновить затронутый компонент.
Временная шкала
50 больше записей не показано