OpenMRS Appointment Scheduling Module 直到1.16.x Notes AppointmentRequest.java getNotes notes 跨网站脚本
分类为棘手的漏洞曾在OpenMRS Appointment Scheduling Module 直到1.16.x中发现。 此漏洞会影响功能 getNotes
文件 api/src/main/java/org/openmrs/module/appointmentscheduling/AppointmentRequest.java的组件Notes Handler。 手动调试的软件参数:notes不合法输入可导致 跨网站脚本。 漏洞的CWE定义是 CWE-79。 此漏洞的脆弱性 2022-12-24公示人身份39、所发布。 分享公告的网址是github.com。
该漏洞唯一标识为CVE-2022-4727, 攻击可以远程发起, 有技术细节可用。 没有可利用漏洞。 当前漏洞利用价值为美元大约是 $0-$5k。 MITRE ATT&CK项目使用攻击技术T1059.007来解决该问题。
它被宣布为未定义。 我们估计的零日攻击价值约为$0-$5k。
升级到版本1.17.0能够解决此问题。 更新版本下载地址为 github.com。 补丁名称为2ccbe39c020809765de41eeb8ee4c70b5ec49cc8。 错误修复程序下载地址为github.com, 建议对受到影响的组件升级。 该漏洞被披露后,远在此前发表过可能的缓解措施。