CVE-2026-33305

OpenEMR is a free and open source electronic health records and medical practice management application. Prior to 8.0.0.2, an authorization bypass in the optional FaxSMS module (`oe-module-faxsms`) allows any authenticated OpenEMR user to invoke controller methods — including `getNotificationLog()`, which returns patient appointment data (PHI) — regardless of whether they hold the required ACL permissions. The `AppDispatch` constructor dispatches user-controlled actions and exits the process before any calling code can enforce ACL checks. Version 8.0.0.2 fixes the issue.

OpenEMR is a free and open source electronic health records and medical practice management application. Prior to 8.0.0.2, an authorization bypass in the optional FaxSMS module (`oe-module-faxsms`) allows any authenticated OpenEMR user to invoke controller methods — including `getNotificationLog()`, which returns patient appointment data (PHI) — regardless of whether they hold the required ACL permissions. The `AppDispatch` constructor dispatches user-controlled actions and exits the process before any calling code can enforce ACL checks. Version 8.0.0.2 fixes the issue.

OpenEMR es una aplicación gratuita y de código abierto para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0.2, una omisión de autorización en el módulo opcional FaxSMS ('oe-module-faxsms') permite a cualquier usuario autenticado de OpenEMR invocar métodos de controlador — incluyendo 'getNotificationLog()', que devuelve datos de citas de pacientes (PHI) — independientemente de si poseen los permisos ACL requeridos. El constructor 'AppDispatch' despacha acciones controladas por el usuario y sale del proceso antes de que cualquier código de llamada pueda aplicar las comprobaciones ACL. La versión 8.0.0.2 corrige el problema.