OpenEMR sérülékenységei
Az AISLE kutatása egy széles körben használt egészségügyi rendszer, az OpenEMR biztonsági állapotát vizsgálta, és 38 különálló sérülékenységet (CVE) azonosított, amelyek több mint 100 000 egészségügyi szolgáltatót és több százmillió beteg adatát érinthetik.
A feltárt hibák jelentős része alapvető alkalmazásbiztonsági problémákból ered, például hiányzó vagy hibás jogosultságkezelésből, valamint klasszikus webes sérülékenységekből, mint az SQL injection, cross-site scripting, path traversal és session-kezelési hibák. Ezek közül több kritikus besorolású volt, és egyes esetekben már minimális jogosultságú támadó is teljes adatbázis-kompromittációt érhetett volna el.
A legsúlyosabb sérülékenységek között SQL injection hibák szerepeltek (CVE-2026-24908, CVE-2026-23627), amelyek lehetővé tették volna betegadatok tömeges exfiltrációját, hitelesítési adatok megszerzését, sőt akár távoli kódfuttatást is a szerveren. Emellett jogosultság-megkerülési hibák is előfordultak, amelyekkel a támadók hozzáférhettek vagy módosíthatták a betegekhez kapcsolódó érzékeny információkat.
A kutatás egyik fontos megállapítása, hogy a sérülékenységek nagy része nem kifinomult hibákból, hanem alapvető biztonsági kontrollok hiányából adódik, ami arra utal, hogy az egészségügyi szoftverek digitalizációja gyorsabban halad, mint a biztonsági gyakorlatok fejlődése.
Pozitívum, hogy a feltárt hibákat felelős közzétételi folyamat keretében javították, az OpenEMR fejlesztői és az AISLE együttműködésében. Ugyanakkor az eset jól mutatja, hogy a kritikus egészségügyi rendszerekben egyetlen alkalmazásszintű sérülékenység is közvetlen hatással lehet betegadatok bizalmasságára és a szolgáltatások működésére, ami túlmutat a klasszikus IT-kockázatokon és már operatív, akár betegbiztonsági dimenziót is érint.
