由AI驱动的分析发现了开源电子健康记录(EHR)平台OpenEMR代码库中此前未公开的38个安全漏洞,该平台被全球超过10万名医疗保健服务提供商使用。
这些漏洞目前均已修复,严重程度从中等到关键不等,包括授权检查缺失或错误、跨站脚本(XSS)漏洞、SQL注入、路径遍历和会话相关问题。
三个月内发现三十余个漏洞
根据网络安全公司Aisle的研究,这些漏洞可能使攻击者能够对OpenEMR部署发起广泛的攻击。Aisle在本周的一份报告中表示:"在最严重的情况下,SQL注入漏洞结合适度的数据库权限可能导致整个数据库被攻破、患者健康信息(PHI)大规模泄露以及服务器远程代码执行。"
Aisle在短短三个月内发现了这38个新的CVE编号漏洞,并报告给了OpenEMR团队。该团队于2月份发布了软件更新版本(8.0.0),随后在3月份又推出更多补丁来解决其他问题。
这一发现是AI驱动工具如何从根本上改变漏洞研究的最新例证,将以前需要数月艰苦手动分析的工作压缩到数周甚至数天。正如Aisle在报告中所指出的,2018年由安全研究人员团队进行的类似OpenEMR独立安全审计耗时更长,仅发现了23个漏洞。
新发现漏洞的加速涌现已经开始给安全团队带来新的挑战,特别是在分类、优先级排序和修补方面,尤其是因为AI工具发现的许多问题最终被证明是不重要的或不相关的。还有一个日益增长的担忧是,恶意行为者可能会使用相同的AI工具在防御者有机会解决之前发现漏洞和利用方式——这一担忧促使了Anthropic最近推出"Project Glasswing"。
重点漏洞
Aisle的报告重点介绍了三个新发现的OpenEMR漏洞:CVE-2026-24908、CVE-2026-23627和CVE-2026-24487。
CVE-2026-24908是OpenEMR患者REST API中的最高严重性漏洞(CVSS评分:10.0),允许外部系统请求和检索患者记录。这一SQL注入漏洞使任何拥有OpenEMR有效登录凭证的人都能获取密码哈希值并浏览任何数据库表的内容。在特定条件下,它使攻击者能够在服务器上读取或写入任意文件,并可能完全远程控制底层系统。
CVE-2026-23627(CVSS评分:8.8)是类似的SQL注入漏洞,这次影响的是OpenEMR的免疫跟踪模块。该漏洞允许经过身份验证的攻击者使用特制的SQL查询接管底层数据库、窃取患者健康信息和凭证,并在某些条件下实现远程代码执行。
CVE-2026-24487(CVSS评分:6.5)是OpenEMR的FHIR CareTeam端点中的授权绕过漏洞,该接口允许外部医疗系统检索分配给患者护理的临床工作人员记录。该漏洞错误地返回了系统中每位患者的数据,而不仅仅是相关患者的特定数据。
对于发现的38个漏洞中的每一个,Aisle还提出了OpenEMR维护者可以审查并直接应用到现有代码的修复方案,最大限度地减少了修复这些问题所需的时间和精力。OpenEMR随后还将Aisle的AI驱动分析器集成到其代码审查流程中,以便自动扫描新代码中的漏洞并在投入生产前解决这些问题。
【全文结束】
