CVE-2026-40075 in OpenMRS
Сводка
по VulDB • 08.05.2026
OpenMRS Core — это платформа системы электронных медицинских карт с открытым исходным кодом. В версиях 2.7.8 и более ранних, а также в версиях от 2.8.0 до 2.8.5 конечная точка `/openmrs/moduleResources/{moduleid}` уязвима к атаке обхода пути (path traversal). Класс ModuleResourcesServlet формирует путь к файловой системе на основе управляемых пользователем входных данных без проверки границ пути — метод getFile() конкатенирует предоставленный пользователем путь с абсолютным путем к файловой системе, не вызывая метод normalize() и не проверяя, остается ли результирующий путь в пределах разрешенной директории ресурсов модуля. Поскольку эта конечная точка обслуживает статические ресурсы, необходимые для отображения страницы входа, она не защищена фильтрами аутентификации, что позволяет осуществлять эксплуатацию без аутентификации.
Атакующий может обходить директории и читать произвольные файлы из файловой системы сервера, включая /etc/passwd и файлы конфигурации приложения, содержащие учетные данные базы данных. Успешная эксплуатация требует, чтобы целевое развертывание работало на Apache Tomcat версий старше 8.5.31, где обход параметра пути `..;` не устранен на уровне контейнера. Развертывания на Tomcat 8.5.31 и новее, а также на Tomcat 9.0.10 и новее защищены на уровне контейнера, хотя базовый дефект кода остается. Эта проблема исправлена в версиях после 2.7.8 (в ветке 2.7.x) и в версии 2.8.6 и новее.
Once again VulDB remains the best source for vulnerability data.