漏洞关键信息 漏洞概述 CVE ID: CVE-2026-25220 漏洞类型: CWE-639 严重性: 中 包: OpenEMR (PHP/OpenEMR) 影响版本: < 8.0.0 修复版本: 8.0.0 漏洞描述 摘要: 消息中心接受 URL 参数并传递给 ,返回所有内部消息(所有用户的笔记)。后端在给予访问权限前未验证请求用户是否为管理员,导致任何已认证用户通过 查看所有内部消息。 漏洞代码位置: - 文件: interface/main/messages/messages.php - 行数: 205-206 (GET 使用), 585, 634 (数据抓取) - 文件: library/pnotes.inc.php - 行数: 91, 104-110 ( 的行为) 关键问题 1. 取自 适用于任何用户,且在使用前未对非管理员强制设为 'no'. 2. 当 时调用 ,没验证用户为管理员。 3. "Show All" 链接在非管理员用户界面中可见链接。 辅助验证漏洞 登录为非管理员用户 请求所有消息: 观察结果:显示所有用户消息 UI 确认 漏洞影响 完整消息访问控制绕过:非管理员可读所有内部消息 PHI 和内部通信暴露:与患者相关笔记和员工通信可见,引发 HIPAA 合规风险 信任和声誉破坏:改变了用户对消息处理方式的预期