最近，開源電子病歷平台 OpenEMR 中發現了數十個漏洞，其中包括可被利用來竊取敏感病人資訊的關鍵問題。OpenEMR 被全球超過 10 萬家醫療機構用於儲存超過 2 億名患者的資料。應用程式安全公司 Alle 對 OpenEMR 進行了分析。該公司自主開發的分析工具識別出 39 個安全漏洞，其中 38 個已被分配了 CVE 編號。

該研究是 OpenEMR 開發人員與 Aisle 合作進行的，所有漏洞都已修復。大多數安全漏洞是由於授權缺失或錯誤造成的。其餘漏洞包括跨站腳本攻擊 (XSS)、SQL 注入、路徑遍歷和會話過期問題。

「在最嚴重的情況下，SQL 注入漏洞加上適中的資料庫權限可能導致資料庫完全被攻破、大規模洩露個人健康資訊以及在伺服器上執行遠端程式碼，」艾斯爾說。

這家安全公司重點指出了三個可被利用來存取或篡改病患資料的漏洞。其中兩個是嚴重的 SQL 注入漏洞，編號分別為CVE-2026-24908和CVE-2026-23627，任何經過驗證的攻擊者都可能利用這些漏洞入侵資料庫、竊取資料、盜取憑證並執行任意程式碼。

另一個會洩漏病患資料的漏洞是CVE-2026-24487，它被描述為一個授權繞過問題。Aisle 的一篇部落格文章提供了 OpenEMR CVE的完整清單。研究人員  經常發現會洩漏病患資訊的OpenEMR嚴重漏洞。

CVEdetails已收錄了過去十年中發現的 200 多個漏洞。然而，目前似乎沒有任何公開報告證實 OpenEMR 漏洞已被實際利用。這可能是由於許多 OpenEMR 部署都設有防火牆或保持最新狀態，而且醫療機構更容易受到更廣泛的攻擊途徑的影響，而不是特定於應用程式的缺陷。

資料來源：https://www.securityweek.com/38-vulnerabilities-found-in-openemr-medical-software/