OpenEMR - CVE-2026-32127
Date de publication :
Il s'agit d'une vulnérabilité dans la bibliothèque ajax graphs de OpenEMR.
OpenEMR est une application web open source de dossier patient informatisé et de gestion de cabinet médical.
Le paramètre name transmis par l’utilisateur est concaténé directement dans une requête SQL sans validation suffisante. Le défaut affecte notamment le fichier library/ajax/graphs.php.
Un attaquant authentifié peut injecter des instructions SQL malveillantes via ce paramètre et altérer la logique de la requête exécutée par l’application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
OpenEMR versions antérieures à 8.0.0.1