Recent zijn tientallen kwetsbaarheden ontdekt in OpenEMR, een open source platform voor elektronische medische dossiers dat wereldwijd door meer dan 100.000 zorgverleners wordt gebruikt om gegevens van meer dan 200 miljoen patiënten op te slaan. De applicatiebeveiligingsfirma Aisle voerde een analyse uit met hun autonome scanner, die 39 problemen identificeerde, waarvan 38 een CVE-nummer kregen toegewezen.

Dit onderzoek vond plaats in het kader van een samenwerking tussen de ontwikkelaars van OpenEMR en Aisle. Inmiddels zijn alle kwetsbaarheden gepatcht. De meeste beveiligingsproblemen waren het gevolg van ontbrekende of onjuiste autorisatie. Daarnaast werden kwetsbaarheden gevonden die te maken hebben met cross-site scripting (XSS), SQL-injectie, path traversal en sessievervalproblemen. Volgens Aisle konden in de ernstigste gevallen SQL-injecties, gecombineerd met beperkte databaseprivileges, leiden tot volledige compromittering van de database, grootschalige exfiltratie van patiëntgegevens (PHI) en het uitvoeren van willekeurige code op de server.

De beveiligingsspecialisten benadrukten drie kwetsbaarheden die misbruikt kunnen worden om patiëntgegevens te benaderen of te wijzigen. Twee daarvan zijn kritieke SQL-injectiebugs, geregistreerd als CVE-2026-24908 en CVE-2026-23627. Deze kunnen elke geauthenticeerde aanvaller in staat stellen om de database te compromitteren, data te exfiltreren, inloggegevens te stelen en willekeurige code uit te voeren. Een andere kwetsbaarheid, CVE-2026-24487, betreft een autorisatie-omzeilingsprobleem dat eveneens patiëntgegevens blootstelt.

Een volledige lijst van de OpenEMR CVE’s is beschikbaar in een blogpost van Aisle. Kritieke kwetsbaarheden in OpenEMR die patiëntinformatie blootstellen, worden regelmatig door onderzoekers gevonden. Zo heeft CVEdetails meer dan 200 kwetsbaarheden in het platform gecatalogiseerd over het afgelopen decennium. Er zijn echter geen publieke meldingen van daadwerkelijke uitbuiting in het wild. Dit kan komen doordat veel OpenEMR-installaties achter firewalls draaien of up-to-date worden gehouden, en zorgorganisaties vaker via bredere aanvalsvectoren worden getroffen dan via applicatiespecifieke kwetsbaarheden.