Plataforma
java
Componente
openmrs-module-adminui
Corregido en
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el módulo Admin UI de OpenMRS, afectando a las versiones desde 1.0 hasta 1.4. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La actualización a la versión 1.5.0 soluciona este problema, aplicando el parche 702fbfdac7c4418f23bb5f6452482b4a88020061.
La vulnerabilidad de XSS en OpenMRS Admin UI Module permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información sensible almacenada en OpenMRS, como datos de pacientes o información de configuración del sistema. La severidad es baja, pero la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 27 de diciembre de 2022. No se ha reportado explotación activa en entornos reales, pero la naturaleza de XSS hace que sea una vulnerabilidad de interés para los atacantes. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and healthcare providers utilizing OpenMRS with the Admin UI Module installed and running versions 1.0 through 1.4 are at risk. This includes deployments that rely on the Admin UI Module for user account management and system configuration, particularly those with limited security controls or inadequate input validation practices.
• java / server:
find /path/to/openmrs/module/adminui/omod/src/main/java/org/openmrs/module/adminui/page/controller/systemadmin/accounts/ -name AccountPageController.java• java / server:
grep -r "sendErrorMessage" /path/to/openmrs/module/adminui/omod/src/main/java/discovery
disclosure
patch
Estado del Exploit
EPSS
0.29% (52% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el módulo Admin UI de OpenMRS a la versión 1.5.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y del sistema antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para filtrar las entradas de usuario y bloquear la ejecución de scripts sospechosos. También se recomienda revisar y endurecer las políticas de seguridad del sitio web para minimizar el riesgo de explotación.
Actualice el módulo Admin UI a la versión 1.5.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad de cross-site scripting. La actualización se puede realizar a través del administrador de módulos de OpenMRS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36636 is a cross-site scripting (XSS) vulnerability affecting OpenMRS Admin UI Module versions 1.0 through 1.4, allowing attackers to inject malicious scripts.
You are affected if you are using OpenMRS Admin UI Module versions 1.0, 1.1, 1.2, 1.3, or 1.4. Upgrade to version 1.5.0 or later to mitigate the risk.
Upgrade the OpenMRS Admin UI Module to version 1.5.0 or later. The patch identifier is 702fbfdac7c4418f23bb5f6452482b4a88020061.
There is currently no evidence of active exploitation campaigns targeting CVE-2020-36636, but the vulnerability's nature makes it a potential target.
Refer to the OpenMRS security advisories for detailed information and updates regarding CVE-2020-36636: [https://www.openmrs.org/security/](https://www.openmrs.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.