关键信息 漏洞概述 漏洞名称: Broken Access Control on Care Coordination Module CVE ID: CVE-2026-25127 严重性: High (7.0 分) 发布者: bradymiller 发布日期: 2 小时前 受影响版本: < 8.0.0 修复版本: 8.0.0 漏洞详情 漏洞描述: 服务器未能正确验证用户权限,导致未经授权的用户可以查看授权用户的敏感信息。 影响模块: Care Coordination Module 演示URL: https://demo.openemr.io/openemr/interface/modules/zend_modules/public/encountermanager 证明 (PoC) 1. 管理员权限访问: - 使用管理员账户登录,访问Care Coordination模块。 - 检查访问控制列表(ACL)配置。 - 成功访问模块并观察到HTTP请求信息。 2. 非授权用户访问: - 使用具有"Accounting"角色的账户登录,权限无访问Care Coordination模块。 - 修改HTTP请求,使用管理员会话Cookie替换非授权用户Cookie。 - 成功获取Care Coordination模块数据,证实漏洞存在。 影响 垂直访问控制漏洞损害系统管理员和所有者权限,未遵循指定访问控制列表(ACL)策略。