关键漏洞信息 漏洞标题: Contents of Clinical Notes and Care Plan, where an encounter has Sensitivity=high, can be viewed and changed by users who do not have Sensitivities=high privilege CVE ID: CVE-2025-54373 CVSS v4 base metrics: - Severity: High (7.1/10) - Exploitability Metrics: - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: Low - User interaction: None - Vulnerable System Impact Metrics: - Confidentiality: High - Integrity: None - Availability: None - Subsequent System Impact Metrics: - Confidentiality: None - Integrity: None - Availability: None 受影响版本: OpenEMR 7.0.3.4 修复版本: OpenEMR 7.0.4 摘要: 该漏洞描述了一个信息泄露问题,其中敏感数据意外地暴露给未经授权的用户。具体来说,当一个会话的敏感度设置为“高”时,没有相应权限的用户仍然可以查看和更改其临床笔记和护理计划的内容。 详细信息: - 使用具有高敏感度权限的用户(如医师)登录,创建新的会话并设置为“高”敏感度,然后填写临床笔记和护理计划。 - 使用只有正常敏感度权限的用户(如临床医生)登录时,虽然无法直接查看会话内容,但可以通过临床笔记表格访问到其他用户创建的高敏感度会话数据,导致信息泄露。 修复开发者: sJpadgett