CVE-2026-33933OpenEMR是一款广泛使用的开源电子健康记录系统。在7.0.2.1至8.0.0.3之前的版本中,其自定义模板编辑器组件存在反射型跨站脚本(XSS)漏洞。攻击者无需登录系统,仅需构造包含恶意脚本的特制URL,并诱骗已认证的工作人员点击。一旦受害者访问该链接,恶意JavaScript代码将在其浏览器上下文中执行。此漏洞可能导致敏感信息泄露、会话劫持以及进一步的横向移动,对医疗数据安全构成严重威胁。
该漏洞产生于OpenEMR处理自定义模板编辑器请求时,未对特定参数进行充分的输入验证和输出编码。攻击者利用反射型XSS特性,将恶意载荷嵌入URL参数中。当服务器处理该请求时,会将未经过滤的参数值直接反射回HTML响应页面。由于受害者浏览器对服务器来源的信任,嵌入的JavaScript代码得以执行。攻击者可利用这一点窃取受害者的身份凭证(如Session Cookie),甚至以受害者身份执行管理操作。尽管攻击者需要用户交互(UI:R),但在医疗环境下,通过钓鱼邮件诱导工作人员点击链接具有极高的可行性。