首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】OpenEMR MedEx 未授权访问导致 API 令牌泄露漏洞(CVE-2026-24898)

发布时间 2026-03-09

一、漏洞概述


漏洞名称

OpenEMR MedEx 未授权访问导致 API 令牌泄露漏洞

CVE   ID

CVE-2026-24898

漏洞类型

未授权访问

发现时间

2026-3-9

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


OpenEMR是一款开源电子病历(EHR)和医疗信息管理系统,广泛应用于医疗机构的临床管理与患者信息管理。该系统支持患者档案管理、预约排班、电子处方、计费结算及医疗数据交换等功能,并符合HIPAA等医疗数据合规要求。OpenEMR采用模块化架构,支持多语言、多用户和多机构部署,可通过扩展组件与第三方医疗服务平台进行集成。


2026年3月9日,启明星辰安全应急响应中心(VSRC)监测到OpenEMR MedEx 未授权访问导致 API 令牌泄露漏洞。该漏洞存在于library/MedEx/MedEx.php文件中,由于代码设置$ignoreAuth=true,导致接口在未进行身份认证的情况下即可被外部访问。当攻击者向该接口发送包含任意callback_key参数的POST请求时,系统会自动调用MedEx登录流程,并将完整的登录响应以JSON形式返回,其中包含MedEx API 访问令牌、诊所信息、患者事件及营销活动等敏感数据。攻击者可利用泄露的令牌直接访问MedEx平台API,获取患者相关数据、触发通知或修改事件配置,从而造成敏感医疗信息(PHI)泄露,并可能违反HIPAA等医疗数据合规要求,对医疗机构和患者隐私安全造成严重影响。


二、影响范围


OpenEMR < 8.0.0


三、安全措施


3.1 升级版本


官方已发布修复补丁,以修复该漏洞。


OpenEMR >= 8.0.0


下载链接:https://github.com/openemr/openemr/tags/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/openemr/openemr/security/advisories/GHSA-qwff-3mw7-7rc7/
https://nvd.nist.gov/vuln/detail/CVE-2026-24898
上一篇 下一篇