文章总结： 应用安全公司Aisle在开源电子病历平台OpenEMR中发现38个漏洞，主要由于授权缺失或错误导致，包括SQL注入、XSS、路径遍历等问题。最严重的SQL注入漏洞可能被利用来完全攻破数据库、泄露患者健康信息并实现远程代码执行。所有漏洞已通过开发者合作修复，建议用户及时更新系统。 综合评分： 78 文章分类： 漏洞分析,应用安全,数据安全,漏洞预警,医疗安全

【安全圈】开源电子病历软件 OpenEMR 发现 38 个漏洞

安全圈

2026年5月1日 19:02 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

近日，应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞，其中包括一些可被利用来窃取敏感患者信息的严重问题。

OpenEMR 在全球范围内被超 10 万名医疗服务提供者使用，存储着超 2 亿患者的数据。Aisle 对其进行了分析，该公司的自动分析工具识别出 39 个问题，其中 38 个已被分配 CVE 标识符。

此次研究是 OpenEMR 开发者与 Aisle 合作的一部分，所有漏洞均已修复。

大多数安全漏洞是由于授权缺失或授权错误导致的。其余漏洞包括跨站脚本（XSS）、SQL 注入、路径遍历和会话过期等问题。

Aisle 表示：“在最严重的情况下，SQL 注入漏洞与有限的数据库权限相结合，可能导致数据库完全被攻破、大规模泄露患者健康信息（PHI），以及在服务器上实现远程代码执行。”

该安全公司特别指出了三个可被利用来访问或更改患者数据的漏洞。其中两个是严重的 SQL 注入漏洞，编号分别为 CVE – 2026 – 24908 和 CVE – 2026 – 23627，任何经过身份验证的攻击者利用这两个漏洞都可能入侵数据库、泄露数据、窃取凭证并执行任意代码。

另一个导致患者数据暴露的漏洞是 CVE – 2026 – 24487，这是一个绕过授权的问题。

Aisle 在一篇博客文章中公布了 OpenEMR 的完整 CVE 列表。

研究人员经常发现暴露患者信息的 OpenEMR 严重漏洞。

CVEdetails 网站记录了过去十年间发现的 200 多个漏洞。然而，似乎没有公开报告证实 OpenEMR 漏洞在实际中被利用。

这可能是因为许多 OpenEMR 部署都设置了防火墙或保持更新，而且医疗保健组织更常受到的攻击是通过更广泛的途径，而非特定应用程序的漏洞。

END

阅读推荐

【安全圈】Linux 内核潜伏 9 年漏洞披露：732 字节脚本攻破 Ubuntu 等发行版，提权至 root 最高权限

【安全圈】cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！

【安全圈】朝鲜新一轮攻击：利用 AI 植入 npm 恶意软件、虚假公司和远程访问木马

【安全圈】伊朗黑客组织：已“开盒” 2379 名美国海军陆战队员，掌握数万名中东美军姓名、住址、日常轨迹、购物习惯等

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】开源电子病历软件 OpenEMR 发现 38 个漏洞》