| CNNVD-ID编号 | CNNVD-201805-038 | CVE编号 | CVE-2018-10571 |
| 发布时间 | 2018-04-30 | 更新时间 | 2018-05-07 |
| 漏洞类型 | 跨站脚本 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | open-emr | ||
OpenEMR是OpenEMR社区所维护的一套开源的医疗管理系统。该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请。
OpenEMR 5.0.1之前版本中存在多个跨站脚本漏洞。远程攻击者可借助多种方法利用该漏洞注入任意的Web脚本或HTML。(多种方法包括:(1)向interface/main/finder/finder_navigation.php发送‘patient’参数、(2)向interface/billing/get_claim_file.php发送‘key’参数、(3)向interface/main/finder/finder_navigation.php发送‘formid’或‘formseq’参数、(4)向interface/billing/sl_eob_process.php发送‘eraname’、‘paydate’、‘post_to_date’、‘deposit_date’、‘debug’或‘InsId’参数、(5)向interface/billing/sl_eob_search.php发送‘form_source’、‘form_paydate’、‘form_deposit_date’、‘form_amount’、‘form_name’、‘form_pid’、‘form_encounter’、‘form_date’或‘form_to_date’参数、(6)向interface/de_identification_forms/find_code_popup.php发送‘codetype’或‘search_term’参数、(7)向interface/de_identification_forms/find_drug_popup.php发送‘search_term’参数、(8)向interface/de_identification_forms/find_immunization_popup.php发送‘search_term’参数、(9)向interface/de_identification_forms/find_immunization_popup.php发送‘search_term’参数、(10)向interface/forms/CAMOS/view.php或interface/forms/reviewofs/view.php发送‘id’参数、(11)向library/custom_template/personalize.php发送‘list_id’参数)
目前厂商已发布升级了OpenEMR 跨站脚本漏洞的补丁,OpenEMR 跨站脚本漏洞的补丁获取链接:
https://www.open-emr.org/wiki/index.php/Release_Features#Version_5.0.1
来源:github.com
链接:https://github.com/openemr/openemr/commit/699e3c2ef68545357cac714505df1419b8bf2051
来源:github.com
来源:github.com
计算
安全
数据库
网络和加速
AI应用
