Plataforma
php
Componente
openemr
Corrigido em
8.0.1
Uma vulnerabilidade de SQL Injection foi descoberta no OpenEMR, um sistema de gerenciamento de registros de saúde eletrônicos. Essa falha, presente em versões anteriores à 8.0.0, permite que usuários autenticados com acesso à API executem consultas SQL arbitrárias através do parâmetro '_sort' na API REST do Paciente. O problema reside na falta de validação ou escape de identificadores em campos de ordenação fornecidos pelo usuário, o que pode levar a sérias consequências.
A exploração bem-sucedida desta vulnerabilidade pode resultar em acesso não autorizado ao banco de dados do OpenEMR. Um atacante pode extrair informações sensíveis, incluindo dados de saúde protegidos (PHI), informações de pacientes e, potencialmente, credenciais de usuários. A capacidade de executar consultas SQL arbitrárias abre a porta para manipulação de dados, exclusão de registros e até mesmo a tomada de controle do sistema. Dada a natureza sensível dos dados armazenados em sistemas de registros de saúde eletrônicos, o impacto de uma violação de segurança pode ser devastador, tanto para os pacientes quanto para a organização.
Esta vulnerabilidade foi divulgada em 25 de fevereiro de 2026. Não há relatos públicos de exploração ativa no momento da divulgação. A pontuação CVSS de 10 indica um risco crítico, e a facilidade de exploração, combinada com o potencial impacto, a torna um alvo atraente para atacantes. É recomendável priorizar a correção desta vulnerabilidade.
Healthcare providers and organizations utilizing OpenEMR, particularly those relying on the Patient REST API for data access and integration, are at significant risk. Shared hosting environments where multiple OpenEMR instances reside on the same server are also vulnerable, as a compromise of one instance could potentially impact others.
• linux / server:
journalctl -u openemr | grep -i "SQL injection"• generic web:
curl -I 'https://<openemr_host>/api/patient?_sort='; # Check for unusual response headers or errors• database (mysql):
mysql -u <openemr_user> -p -e "SHOW TABLES LIKE 'patient%';"disclosure
patch
Status do Exploit
EPSS
0.00% (percentil 0%)
CISA SSVC
Vetor CVSS
A correção primária para esta vulnerabilidade é a atualização para a versão 8.0.0 do OpenEMR, que inclui a correção necessária. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Restringir o acesso à API REST do Paciente apenas a usuários autorizados pode reduzir a superfície de ataque. Além disso, implementar regras de firewall ou um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem injetar código SQL pode ajudar a proteger o sistema. Monitore os logs de acesso e auditoria em busca de atividades suspeitas.
Atualize OpenEMR para a versão 8.0.0 ou superior. Esta versão corrige a vulnerabilidade de injeção SQL na API de pacientes. A atualização evitará a execução de consultas SQL arbitrárias e a possível exposição de informações sensíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24908 is a critical SQL injection vulnerability in OpenEMR versions prior to 8.0.0, allowing attackers to execute SQL queries through the Patient REST API.
You are affected if you are running OpenEMR versions 8.0.0 or earlier and have not yet upgraded.
Upgrade OpenEMR to version 8.0.0 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
While no public exploitation is confirmed, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the official OpenEMR security advisory for detailed information and updates: [https://openemr.org/security/](https://openemr.org/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.