关键漏洞信息 漏洞标题 Information Disclosure: Location resource for Group.$export operation returns entire patient/user population contact information 漏洞详情 CVE ID: CVE-2026-25135 严重性: 中等 (4.5/10) CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 高 - 用户交互: 需要 - 范围: 未改变 - 机密性: 高 - 完整性: 无 - 可用性: 无 CVSS: 3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N 影响范围 此漏洞发生在极高信任环境中,泄露系统中所有用户、组织和患者的完整联系信息,对具有系统(Group,Patient,).$export 操作和 system/Location.read 能力的任何人都适用。影响自 2023 年以来的所有 OpenEMR 版本。 影响条件 只有在使用具有安全密钥交换的机密客户端时才会发生此漏洞,这需要管理员启用并授予权限后应用程序才能使用。通常仅在已建立法律协议的受信任客户端之间的服务器-服务器通信中发生。 已修复版本 受影响版本: < 8.0.0 已修复版本**: 8.0.0 临时解决措施 禁用具有易受攻击范围的客户端,只允许没有 system/Location.read 范围的客户端,直到修复程序部署完毕。 修复开发人员 adunsulag