OpenEMR 2.8.2版本及其早期版本的interface/globals.php中存在自变量重写漏洞。远程攻击者重写任意程序自变量并执行其他为验证活动,例如(a)可以借助custom/import_xml.php中的srcdir参数执行远程文件包含攻击或(b)可以借助interface/login/login_frame.php的rootdir或可以借助(1)POST和(2)GET超全球数组上的求根操作有关的向量,参数执行跨站脚本攻击。
OpenEMR 2.8.2版本及其早期版本的interface/globals.php中存在自变量重写漏洞。远程攻击者重写任意程序自变量并执行其他为验证活动,例如(a)可以借助custom/import_xml.php中的srcdir参数执行远程文件包含攻击或(b)可以借助interface/login/login_frame.php的rootdir或可以借助(1)POST和(2)GET超全球数组上的求根操作有关的向量,参数执行跨站脚本攻击。