CVE-2026-24849
CriticalSummary
OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach przed 7.0.4 metoda `disposeDocument()` w pliku `EtherFaxActions.php` pozwalała uwierzytelnionym użytkownikom na odczyt dowolnych plików z systemu plików serwera.
Risk Assessment
Każdy uwierzytelniony użytkownik, niezależnie od poziomu uprawnień, może wykorzystać tę podatność do odczytu wrażliwych plików, co stwarza poważne zagrożenie dla bezpieczeństwa danych medycznych.
Recommendation
Zaleca się aktualizację do wersji 7.0.4 lub nowszej, aby załatać tę podatność i zabezpieczyć system przed nieautoryzowanym dostępem do plików.
Original NVD description (English source)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 7.0.4, the `disposeDocument()` method in `EtherFaxActions.php` allows authenticated users to read arbitrary files from the server filesystem. Any authenticated user (regardless of privilege level) can exploit this vulnerability to read sensitive files. Version 7.0.4 patches the issue.

