CRITICAL🇵🇱 Wersja polska

CVE-2026-25146

CVSS 9.6v3.1pub. 2026-03-03upd. 2026-03-04

OpenEMR is a free and open source electronic health records and medical practice management application. From 5.0.2 to before 8.0.0, there are (at least) two paths where the gateway_api_key secret value is rendered to the client in plaintext. These secret keys being leaked could result in arbitrary money movement or broad account takeover of payment gateway APIs. This vulnerability is fixed in 8.0.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Open Emr Openemr

    APP
    Open-Emr
    5.0.2 – 8.0.0 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
CWE
References

Related vulnerabilities

CVE-2026-32238CRITICAL9.1PL ✓ten sam produkt

Command Injection w funkcji backup OpenEMR (wersje przed 8.0.0.2)

CVE-2026-24898CRITICAL10.0PL ✓ten sam produkt

OpenEMR: ujawnienie tokenów API MedEx bez uwierzytelnienia (Auth Bypass)

CVE-2026-24908CRITICAL9.9PL ✓ten sam produkt

SQL Injection w OpenEMR — narażenie danych PHI przez parametr _sort

CVE-2026-24849CRITICAL9.9PL ✓ten sam produkt

OpenEMR: path traversal umożliwia odczyt dowolnych plików przez uwierzytelnionego użytkownika

CVE-2024-22611CRITICAL9.8PL ✓ten sam produkt

SQL Injection w OpenEMR 7.0.2 — krytyczna podatność w module aptecznym