Plataforma
java
Componente
openmrs-module-appointmentscheduling
Corregido en
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo de Programación de Citas de OpenMRS, afectando a las versiones desde 1.0 hasta 1.12.x. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La actualización a la versión 1.13.0 soluciona esta vulnerabilidad.
La vulnerabilidad XSS en OpenMRS Appointment Scheduling Module permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que interactúa con la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación de contenido visible para el usuario. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de acceso de un médico o paciente, permitiéndole acceder a información sensible o realizar acciones no autorizadas en su nombre. El impacto se amplifica si la aplicación se utiliza en entornos donde se manejan datos de salud confidenciales.
Esta vulnerabilidad fue publicada el 27 de diciembre de 2022. No se ha reportado su explotación activa en campañas conocidas. La baja puntuación CVSS (3.5) indica un riesgo relativamente bajo, pero la naturaleza de las vulnerabilidades XSS las hace susceptibles a ataques oportunistas. No se encuentra en el KEV de CISA.
Healthcare organizations and clinics utilizing OpenMRS with the Appointment Scheduling Module versions 1.0 through 1.12.x are at risk. Specifically, deployments that handle sensitive patient data or rely on the appointment scheduling module for critical functionality are particularly vulnerable. Shared hosting environments running OpenMRS are also at increased risk due to potential cross-tenant vulnerabilities.
• linux / server: Monitor OpenMRS application logs for suspicious JavaScript injection attempts. Use grep to search for patterns like <script or onerror=.
grep -i '<script' /var/log/openmrs/application.log• generic web: Use curl to test the appointment scheduling API endpoints with various payloads and observe the response for signs of script execution.
curl -X POST -d '<script>alert("XSS")</script>' <appointment_scheduling_api_endpoint>disclosure
Estado del Exploit
EPSS
0.29% (52% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el módulo de Programación de Citas de OpenMRS a la versión 1.13.0 o superior. El parche asociado a esta corrección es 34213c3f6ea22df427573076fb62744694f601d8. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Implementar una política de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo de ataques XSS. Después de la actualización, confirme la corrección revisando los registros de la aplicación en busca de intentos de explotación.
Actualice el módulo Appointment Scheduling a la versión 1.13.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de Cross-Site Scripting (XSS) en la función validateFieldName. La actualización se puede realizar a través del administrador de módulos de OpenMRS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36635 is a cross-site scripting (XSS) vulnerability in the OpenMRS Appointment Scheduling Module, allowing attackers to inject malicious scripts.
You are affected if you are using OpenMRS Appointment Scheduling Module versions 1.0 through 1.12.x.
Upgrade the OpenMRS Appointment Scheduling Module to version 1.13.0 or later. Implement input validation and output encoding as an interim measure.
There is no current evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Refer to the OpenMRS security advisories for detailed information and updates: [https://www.openmrs.org/security/](https://www.openmrs.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.