网易首页 > 网易号 > 正文 申请入驻

医疗实践管理软件OpenEMR曝22个漏洞 近1亿份病历存泄露风险

0
分享至

在本周二(8月7日),一组研究人员公开披露了存在于OpenEMR软件中的22个安全漏洞。OpenEMR是一个被广泛使用的医疗实践管理软件,支持电子病历。在此次被披露的漏洞中,包括了一个门户身份验证绕过漏洞,允许攻击者访问任何患者的记录。

这个称自己为Project Insecurity的研究小组指出,他们从GitHub上下载了OpenEMR 5.0.1.3版本,并在不使用自动化测试工具的情况下对其源代码进行了手动分析。虽然没有任何一个漏洞能够被评定为危急级别(Critical),但在22个漏洞中有17个的严重程度被认为是较高的。

在接受媒体采访时,Project Insecurity的首席执行官Matt Telfer 解释了为什么这个门户身份验证绕过漏洞可能是其中最重要的发现。他说:“一些信息可能会因为这个漏洞而遭到窃取,这包括患者的人口统计,所有的电子病历、处方和医疗账单信息,预约时间表等。OpenEMR累计存储有近1亿患者的记录,其中有超过1000万份的记录在美国境内。”

根据这份报告的描述,成功利用这个漏洞允许攻击者访问通常需要登录验证的门户页面。值得注意的是,利用漏洞的方法并不复杂,只需要导航到注册页面并修改所请求的URL,就可以访问很多页面,这包括支付页面、患者个人资料页面以及实验室结果页面。事实上,在能够成功访问个人资料页面之后,研究人员能够提取任意患者的个人资料。

更糟糕的是,Project insecure发现攻击者完全可以将这个门户身份验证绕过漏洞与在OpenEMR的PHP代码片段中发现的八个SQL注入漏洞结合起来使用,以访问目标数据库中数据、破坏患者记录,并在无需授权的情况下执行各种数据库操作。

此外,Project Insecurity还发现了四个远程代码执行(RCE)漏洞,这些漏洞可能允许攻击者发出系统命令或升级他们的权限。

Project Insecurity还指出,OpenEMR还受到多个高严重程度的跨站点请求伪造(CSRF)漏洞的影响,其中最严重的漏洞可能允许攻击者上传Web shell并升级到远程代码执行,但需要事先诱骗管理员点击恶意链接。

另有三个影响较大的漏洞是值得关注的,第一个是一个任意文件写入漏洞,它允许经过身份验证的攻击者使用精心设计的请求上传任意文件;第二个是一个任意文件读取漏洞,它允许攻击者在Web目录之外查看站点上的文件;第三个是一个任意文件删除漏洞。

最后,OpenEMR还被发现受到三个未经身份验证的信息泄露漏洞(低风险)、一个受限制的文件上传漏洞(中等风险),以及多个未经身份验证的管理操作漏洞的影响(低风险),只需要知道相对URL路径就可实现对漏洞的利用。

由Matt Telfer、Brian Hyde、Cody Zacharias、Corben Leo、Daley Bee、Dominik Penner和Manny Mand组成的Project Insecurity研究小组这份长达28页的漏洞分析报告中指出,OpenEMR的开发人员已经在7月20日发布了一系列补丁,对这些漏洞进行了修复。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
黄有龙澳洲赌债案落槌:2.8亿输光、2.7亿本金偿还、亿元利息主张

黄有龙澳洲赌债案落槌:2.8亿输光、2.7亿本金偿还、亿元利息主张

阿讯说天下
2026-07-02 09:56:50
陈若琳与谁同居?网传己怀孕是真的吗?

陈若琳与谁同居?网传己怀孕是真的吗?

动物奇奇怪怪
2026-07-03 15:12:04
海军上校方明在执行飞行训练任务时牺牲,被评定为烈士,安徽省合肥市庐江县以最高礼仪举行告别仪式

海军上校方明在执行飞行训练任务时牺牲,被评定为烈士,安徽省合肥市庐江县以最高礼仪举行告别仪式

极目新闻
2026-07-03 15:16:01
男篮世预赛被无视了?中日生死战被CCTV5弃播:篮球又给足球让路

男篮世预赛被无视了?中日生死战被CCTV5弃播:篮球又给足球让路

篮球快餐车
2026-07-03 06:05:15
台风“美莎克”登陆!中央气象台发布暴雨、强对流、台风预警:广西广东海南岛等地有大暴雨;辽宁北京江苏等地有10级以上雷暴大风

台风“美莎克”登陆!中央气象台发布暴雨、强对流、台风预警:广西广东海南岛等地有大暴雨;辽宁北京江苏等地有10级以上雷暴大风

极目新闻
2026-07-03 19:00:33
风力发电危害有多大?欧美大面积拆除,为何中国海上都建风电场了

风力发电危害有多大?欧美大面积拆除,为何中国海上都建风电场了

老头的传奇色彩
2026-07-03 05:25:54
中国船员在被韩海警扣押期间死亡,家属质疑延误黄金救援时间

中国船员在被韩海警扣押期间死亡,家属质疑延误黄金救援时间

红星新闻
2026-07-03 17:16:47
输球不可怕!可怕的是克罗地亚主帅赛后的这番话,真是无奈至极!

输球不可怕!可怕的是克罗地亚主帅赛后的这番话,真是无奈至极!

田先生篮球
2026-07-03 10:53:42
阿尔及利亚输球后,韩媒幸灾乐祸,发文称:这是“洪明甫的诅咒”

阿尔及利亚输球后,韩媒幸灾乐祸,发文称:这是“洪明甫的诅咒”

看晓天下事
2026-07-03 17:23:23
世界杯巨大争议!克罗地亚压哨绝平被吹,魔笛气笑了,1场3球无效

世界杯巨大争议!克罗地亚压哨绝平被吹,魔笛气笑了,1场3球无效

奥拜尔
2026-07-03 09:26:17
中央网信办开展“清朗・网络娱乐团播乱象整治”专项行动

中央网信办开展“清朗・网络娱乐团播乱象整治”专项行动

界面新闻
2026-07-03 09:05:20
伊朗官员:出于安全考虑,新任最高领袖穆杰塔巴不会出席哈梅内伊告别仪式

伊朗官员:出于安全考虑,新任最高领袖穆杰塔巴不会出席哈梅内伊告别仪式

极目新闻
2026-07-03 16:59:04
国乒女单冠军1-3爆冷出局,孙颖莎0-2落后,王皓点醒王楚钦

国乒女单冠军1-3爆冷出局,孙颖莎0-2落后,王皓点醒王楚钦

老牛体育解说
2026-07-03 06:51:04
群嘲!库兹马:好像詹眉年薪6亿所以搞不来中锋!浓眉:别说了,搞笑!

群嘲!库兹马:好像詹眉年薪6亿所以搞不来中锋!浓眉:别说了,搞笑!

818体育
2026-07-03 18:34:13
独家:阿里全面禁用Claude

独家:阿里全面禁用Claude

智东西
2026-07-03 13:40:26
0-3!0-2!短短8小时:世界杯做掉伊朗的2队出局 苍天饶过谁

0-3!0-2!短短8小时:世界杯做掉伊朗的2队出局 苍天饶过谁

叶青足球世界
2026-07-03 13:16:12
被淘汰仅2天,65岁德国足球传奇下场炮轰,失败主要是因为女人?

被淘汰仅2天,65岁德国足球传奇下场炮轰,失败主要是因为女人?

青梅侃史啊
2026-07-03 09:48:36
韩红全面回应各大传闻:基金会高管年薪60万,采购苹果电脑和相机

韩红全面回应各大传闻:基金会高管年薪60万,采购苹果电脑和相机

眼光很亮
2026-07-03 07:30:03
中国智造“杀死”克罗地亚队?三重浪内置芯片捕捉触球瞬间,绝平进球无效!

中国智造“杀死”克罗地亚队?三重浪内置芯片捕捉触球瞬间,绝平进球无效!

上观新闻
2026-07-03 09:47:14
中国反兴奋剂中心:游泳运动员王子铭构成兴奋剂违规

中国反兴奋剂中心:游泳运动员王子铭构成兴奋剂违规

界面新闻
2026-07-03 20:10:58
2026-07-03 20:32:49
黑客视界
黑客视界
网络安全资讯分享平台
1040文章数 140关注度
往期回顾 全部

科技要闻

万亿富豪马斯克 舍不得特斯拉员工敞开用AI

头条要闻

清华教授举报蒋方舟"论文造假" 人大仍未公布调查结论

头条要闻

清华教授举报蒋方舟"论文造假" 人大仍未公布调查结论

体育要闻

C罗穿已故队友若塔球衣谢场 眼中含泪

娱乐要闻

海来阿木孕期出轨指控掀起全网热议

财经要闻

AI“鬼故事”不断,市场开始重估?

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

旅游
艺术
房产
公开课
军事航空

旅游要闻

游客反映万仙山景区一家民宿入住体验不佳,当地乡政府通报

艺术要闻

被雍正痛骂后,李卫写出一幅“绝美检讨书”,网友评:胜过书法专家!

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

俄大使馆遇袭 2年多遭袭击次数已超25次

无障碍浏览 进入关怀版