关键信息 漏洞概述 CVE ID: CVE-2024-22611 厂商: OpenEMR (https://www.open-emr.org/) 产品: OpenEMR 版本: 7.0.2 发现者: Le Quoc Bao - HPT Vietnam Corporation 日期: January 2, 2024 描述 OpenEMR 7.0.2 在药房模块中存在SQL注入漏洞,该漏洞可以通过Web界面被认证攻击者利用。由于在药房列表功能中输入验证不足导致此漏洞。 受影响组件 (line 258) (line 61) (line 6) 技术细节 漏洞发生在药房列表功能中,用户提供的输入在 参数中直接连接到SQL查询中,没有适当的清理。这允许攻击者通过Web界面注入恶意SQL代码。 CVSS评分 评分: 7.1 (高) 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/V:C/I:N/A:N/SC:N/SI:N/SA:N 影响 对数据库信息的未经授权访问 敏感医疗信息的数据泄露风险 服务器端代码执行(在某些情况下) 数据库妥协 修复措施 1. 输入验证和清理 - 实施所有用户提供的参数的严格输入验证 - 使用参数化查询或预编译语句 - 应用适当的转义和用户输入清理 2. 安全编码实践 - 实施适当的错误处理 - 使用安全的数据库访问库 - 遵循数据库访问的最小权限原则 3. 额外的安全措施 - 实施WAF(Web应用程序防火墙) - 定期进行安全审计和渗透测试 - 保持系统和所有组件的更新 时间线 发现: January 2, 2024 报告提交: January 3, 2024 公开披露: January 3, 2024 致谢 研究员: Le Quoc Bao 组织: HPT Vietnam Corporation