Plataforma
php
Componente
openemr
Corregido en
7.0.5
La vulnerabilidad CVE-2026-24849 afecta a OpenEMR, una aplicación de historial clínico electrónico y gestión de prácticas médicas de código abierto. Esta vulnerabilidad de acceso a archivos arbitrarios permite a usuarios autenticados, independientemente de su nivel de privilegios, leer archivos sensibles del sistema de archivos del servidor. La vulnerabilidad se encuentra en versiones de OpenEMR anteriores o iguales a 7.0.4, y ha sido corregida en la versión 7.0.4.
Un atacante autenticado puede explotar esta vulnerabilidad para leer archivos confidenciales almacenados en el servidor donde se ejecuta OpenEMR. Esto podría incluir archivos de configuración, contraseñas, datos de pacientes, o cualquier otro archivo al que el proceso de OpenEMR tenga acceso. La exposición de esta información podría resultar en una brecha de datos significativa, comprometiendo la privacidad de los pacientes y la integridad del sistema. El impacto se agrava por el hecho de que cualquier usuario autenticado, incluso aquellos con privilegios limitados, puede explotar la vulnerabilidad, ampliando el radio de explosión potencial.
La vulnerabilidad fue publicada el 25 de febrero de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Es importante implementar las mitigaciones recomendadas lo antes posible para reducir el riesgo de explotación. No se ha añadido a KEV al momento de la redacción.
Healthcare providers and organizations utilizing OpenEMR, particularly those with legacy configurations or shared hosting environments, are at significant risk. Any deployment where user authentication is in place and file system permissions are not strictly controlled is vulnerable. Organizations relying on OpenEMR to manage sensitive patient data are especially at risk due to potential HIPAA violations.
• php / server:
grep -r 'disposeDocument\(\)' /var/www/openemr/src/classes/EtherFaxActions.php• generic web:
curl -I http://<openemr_server>/openemr/EtherFaxActions.php?disposeDocument=../../../../etc/passwd• linux / server:
journalctl -u apache2 -f | grep 'disposeDocument'disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar OpenEMR a la versión 7.0.4 o superior. Si la actualización a la última versión no es inmediatamente posible, se recomienda restringir el acceso al archivo EtherFaxActions.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, se debe revisar y endurecer los permisos de los archivos y directorios en el servidor para limitar el acceso a los archivos sensibles. Una vez realizada la actualización, verificar que la vulnerabilidad ha sido efectivamente mitigada intentando acceder a archivos arbitrarios a través de la función disposeDocument() y confirmando que el acceso está denegado.
Actualice OpenEMR a la versión 7.0.4 o superior. Esta versión contiene la corrección de seguridad que impide la lectura arbitraria de archivos. Se recomienda realizar una copia de seguridad antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24849 is a critical vulnerability in OpenEMR versions 7.0.4 and earlier, allowing authenticated users to read arbitrary files from the server's filesystem.
You are affected if you are running OpenEMR versions 7.0.4 or earlier. Verify your version and upgrade immediately.
Upgrade OpenEMR to version 7.0.4 or later. Implement temporary workarounds like restricting file system permissions and using a WAF if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's criticality and ease of exploitation suggest it is likely to be targeted.
Refer to the OpenEMR security advisory page for the latest information and updates regarding CVE-2026-24849: [https://openemr.org/security/](https://openemr.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.