ГлавнаяБаза уязвимостей БДУ → BDU:2017-02619
10критическая

BDU:2017-02619

Уязвимость модуля Reporting Compatibility Add On программного средства для работы с медицинскими записями OpenMRS Reference Application, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2017-12-21
Описание

Уязвимость модуля Reporting Compatibility Add On программного средства для работы с медицинскими записями OpenMRS Reference Application связана с отсутствием процедуры аутентификации при десериализации XML-файлов в объекты ReportSchema. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить команды операционной системы с помощью отправки методом POST запроса со специально сформированным XML-файлом к странице /admin/reports/reportSchemaXml.form

Затрагиваемое ПО и версии
OpenMRS Reference Application (до 2.6.1)
Способ устранения

Использование рекомендаций:
https://wiki.openmrs.org/display/RES/Release+Notes+2.6.1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://isears.github.io/jekyll/update/2017/10/21/openmrs-rce.htmlhttps://talk.openmrs.org/t/critical-security-advisory-2017-09-12/13291https://wiki.openmrs.org/display/RES/Release+Notes+2.6.1
Проверьте безопасность своего сайта и почты → Полная проверка домена