关键信息总结 漏洞概述 漏洞类型: SQL注入漏洞 影响版本: OpenEMR <8.0.0 修复版本: 8.0.0 漏洞详情 漏洞原因: 处方列表功能中,用户提供的排序参数没有进行适当的清理,直接拼接到SQL查询中,导致恶意SQL代码注入。 影响文件: - (line 1148) - (line 180) - (line 6) 漏洞代码 利用方法 PoC: 使用布尔盲注技术,通过构造特定的SQL查询来获取数据。 示例: 结合Python脚本可以进一步利用漏洞。 漏洞影响 未经授权访问数据库信息。 医疗敏感数据泄露风险。 服务器端代码执行(在某些情况下)。 数据库可能被攻破。