文章摘要
AISLE公司发现医疗软件OpenEMR存在38个安全漏洞,影响全球10万家医疗机构。这些漏洞包括SQL注入、跨站脚本等高危问题,可能导致患者数据泄露。研究人员已向供应商报告漏洞并协助修复。
文章总结
AISLE在医疗软件中发现38个安全漏洞,影响10万家医疗机构
关键发现
网络安全公司AISLE的研究团队在开源电子健康记录平台OpenEMR中发现了38个CVE(通用漏洞披露)安全漏洞。OpenEMR是全球使用最广泛的开源医疗记录系统之一,被34种语言的超过10万家医疗机构采用,服务患者超过2亿人。
漏洞详情
这些漏洞主要分为三类: 1. 授权缺失或错误(占比最大):包括未经身份验证的患者身份泄露(CVE-2026-24898)、FHIR患者隔离区绕过(CVE-2026-24487)等 2. 跨站脚本(XSS):如门户支付页面存储型XSS(CVE-2026-33346)、CCDA预览中的XSS(CVE-2026-33932)等 3. SQL注入和路径遍历:包括患者API排序参数中的SQL注入(CVE-2026-24908)、免疫搜索/报告中的SQL注入(CVE-2026-23627)等
最严重的漏洞被评为CVSS 10.0(最高风险级别),可能导致: - 数据库完全被攻陷 - 大规模患者健康信息(PHI)泄露 - 服务器远程代码执行
修复与合作
AISLE团队与OpenEMR维护者密切合作: - 2025年12月开始代码审查 - 2026年1月报告首批漏洞 - 2月11日发布的OpenEMR 8.0.0修复了大部分问题 - 3月通过三个补丁版本完成全部修复 - 4月起将AISLE PRO分析工具集成到OpenEMR代码审查流程中
OpenEMR执行主任Brady Miller博士表示:"对于关乎患者安全和健康数据隐私的OpenEMR项目,我们与AISLE的合作令人振奋。他们的自动化分析器发现了我们代码库中的数十个漏洞。"
医疗软件安全现状
文章指出,医疗行业数字化速度快于安全建设速度。虽然AI辅助诊断、远程医疗和自动计费等技术快速普及,但相应的安全防护措施未能同步跟进。与此同时,攻击者正越来越多地利用AI技术更快地发现漏洞。
此次发现的38个漏洞数量超过了2018年"Project Insecurity"报告披露的23个漏洞,而AISLE仅用了一个季度就完成了这项工作,显示出自动化安全分析的高效性。
评论总结
评论总结:
AI在安全审计中的价值
- 支持观点认为AI能有效发现常见漏洞(如SQL注入、XSS等),即使经验丰富的开发团队也可能遗漏这些"低垂果实"。
- 关键引用:
"even really strong development teams still occasionally let bugs like this slip through" (simonw)
"AI helps find some mistakes... Thats a very good thing" (motoxpro)
医疗软件普遍存在的安全问题
- 开源和闭源医疗软件都存在大量漏洞,开源至少允许公开审查和改进。
- 关键引用:
"medical software is super terrible in every way" (dflock)
"most healthcare providers... are likely on older versions where CVEs are already detected" (mbesto)
漏洞披露的伦理争议
- 部分评论质疑研究者是否遵循了负责任的披露流程,强调医疗数据泄露可能危及生命。
- 关键引用:
"if someone exploits a CVE in an EMR, they can wreck havoc on actual real patient data" (MattCruikshank)
技术局限性讨论
- 有观点指出当前AI报告存在误报率高、验证成本高等问题,传统静态分析工具(SAST)同样能发现这些漏洞。
- 关键引用:
"a proper report can't be one pass... you're burning tokens on a report that's likely to be ignore" (0123456789ABCDE)
"Most could have been discovered earlier with SAST tools" (muglug)
行业现状反思
- 认为安全问题的根本原因是缺乏重视,而非技术手段不足,AI热潮可能掩盖了这一本质。
- 关键引用:
"Enough attention and prioritization would also have sorted it" (demorro)
"PHP has enough magical behaviour that any tool needs to be tuned" (muglug)
开源与闭源之争
- 支持开源者认为透明性有助于集体改进,反对者则指出OpenEMR的实际影响力可能被夸大。
- 关键引用:
"let's open source all healthcare systems" (danaw)
"OpenEMR should not be taken as seriously as Epic" (dematz)
注:所有评论均未显示评分(None),故未包含认可度数据。不同观点按比例呈现,关键引用保留原始中英文混合特征。