关键漏洞信息 漏洞概要 名称: Links sent via Secure Messaging open in OpenEMR and Portal CVE ID: CVE-2025-68277 严重程度: High (7.2/10) 受影响版本及修复版本 受影响版本: <7.0.4 修复版本: 7.0.4 描述 摘要: 通过安全消息发送的链接会在OpenEMR/Portal网站内打开。 细节: - 用户在门户中点击安全消息中的链接时,会打开外部网站(如Google Docs)在OpenEMR网站内部。 - 这可能导致钓鱼攻击。 技术详情 CVSS v4 base metrics - 攻击向量: Local - 攻击复杂度: High - 攻击要求: None - 所需权限: Low - 用户交互: Active - 影响: - 机密性: High - 完整性: High - 可用性: Low 弱点 缺陷状态: No CWEs 修复措施 引入DOMPurify设置,保留链接文本但移除链接目标,以防止钓鱼攻击。 证明概念(PoC) 报告者: margarethaywood 修复开发人员: stephenwaite 影响 潜在攻击: 可被利用进行钓鱼攻击。 状态 报告: 已由用户在7.0.3版本中报告,并在7.0.4开发版中复现。