38 CVEs découvertes dans OpenEMR, logiciel de santé utilisé par 100 000 prestataires

🔍 Contexte

Publié le 28 avril 2026 sur le blog d’AISLE (aisle.com), cet article détaille les résultats d’une analyse de sécurité autonome menée sur OpenEMR, l’un des systèmes de dossiers médicaux électroniques open-source les plus utilisés au monde. OpenEMR est déployé par plus de 100 000 prestataires médicaux au service de plus de 200 millions de patients dans 34 langues, et est certifié ONC sous le programme fédéral américain de certification Health IT.

🛠️ Méthodologie

Au cours du T1 2026, les chercheurs d’AISLE (Stanislav Fort, Petr Simecek, Pavel Kohout) ont appliqué l’analyseur IA AISLE à la base de code OpenEMR. Cette approche autonome a permis de découvrir 38 CVEs, représentant plus de la moitié de l’ensemble des avis de sécurité OpenEMR publiés sur GitHub durant cette période. À titre de comparaison, l’audit indépendant le plus notable précédent (Project Insecurity, 2018) avait révélé 23 vulnérabilités après un effort humain prolongé.

⚠️ Vulnérabilités notables

• CVE-2026-24908 (CVSS 10.0) : Injection SQL dans le paramètre _sort de l’API REST Patient — permet extraction de hachages de credentials, injection aveugle temporelle via SLEEP(), et potentiellement RCE si l’utilisateur DB dispose des privilèges FILE.
• CVE-2026-23627 (Critique) : Injection SQL dans le module Immunization — le paramètre patient_id est directement intégré dans des clauses WHERE SQL sans paramétrage, permettant extraction de données via UNION SELECT et potentiellement RCE.
• CVE-2026-24487 (High) : Contournement du compartiment patient FHIR dans CareTeam — un token OAuth2 à portée patient ne restreint pas les résultats à un seul patient en raison d’une interface PHP (IPatientCompartmentResourceService) jamais déclarée dans FhirCareTeamService.
• CVE-2026-24898 (Critical) : Divulgation d’identité patient sans authentification.

📋 Catégories de vulnérabilités

Autorisation manquante ou incorrecte (24 CVEs) :

• IDOR sur notes patients, images, paiements portail, formulaires
• Contournements ACL sur endpoints REST et web UI
• Falsification de signatures de prestataires par des patients portail
• Un endpoint sans authentification du tout

Cross-Site Scripting (9 CVEs) :

• XSS stocké et réfléchi dans portail patient, éditeur de templates, module de paiement, CCDA Preview
• Plusieurs franchissent la frontière portail patient → interface clinicien/administrateur

Injection SQL, path traversal, sessions (5 CVEs) :

• 2 injections SQL critiques (API REST et module Immunization)
• 1 contournement de timeout de session (skip_timeout_reset)
• 2 path traversals (endpoint Fax, compression DICOM)

🔧 Remédiation

La divulgation initiale a eu lieu mi-janvier 2026. La majorité des correctifs a été intégrée dans OpenEMR 8.0.0 (11 février 2026), avec les correctifs restants déployés en trois releases de patch tout au long de mars 2026. AISLE a généré des propositions de correctifs autonomes pour chacune des 38 CVEs, dont le patch final pour CVE-2026-23627. En avril 2026, AISLE PRO a été intégré dans le workflow de revue de code d’OpenEMR.

📌 Type d’article

Il s’agit d’une publication de recherche combinant divulgation coordonnée de vulnérabilités et présentation d’un outil d’analyse autonome, visant à documenter les résultats et à promouvoir le partenariat AISLE/OpenEMR Foundation.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1059 — Command and Scripting Interpreter (Execution)
• T1005 — Data from Local System (Collection)
• T1083 — File and Directory Discovery (Discovery)
• T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
• T1134 — Access Token Manipulation (Defense Evasion)
• T1185 — Browser Session Hijacking (Collection)

IOC

• CVEs : CVE-2026-24908 — NVD · CIRCL
• CVEs : CVE-2026-23627 — NVD · CIRCL
• CVEs : CVE-2026-24487 — NVD · CIRCL
• CVEs : CVE-2026-24898 — NVD · CIRCL
• CVEs : CVE-2026-32126 — NVD · CIRCL
• CVEs : CVE-2026-34053 — NVD · CIRCL
• CVEs : CVE-2026-34055 — NVD · CIRCL
• CVEs : CVE-2026-25164 — NVD · CIRCL
• CVEs : CVE-2026-33918 — NVD · CIRCL
• CVEs : CVE-2026-32123 — NVD · CIRCL
• CVEs : CVE-2026-25147 — NVD · CIRCL
• CVEs : CVE-2026-25927 — NVD · CIRCL
• CVEs : CVE-2026-33302 — NVD · CIRCL
• CVEs : CVE-2026-24890 — NVD · CIRCL
• CVEs : CVE-2026-33304 — NVD · CIRCL
• CVEs : CVE-2026-25929 — NVD · CIRCL
• CVEs : CVE-2026-33931 — NVD · CIRCL
• CVEs : CVE-2026-25745 — NVD · CIRCL
• CVEs : CVE-2026-25744 — NVD · CIRCL
• CVEs : CVE-2026-25220 — NVD · CIRCL
• CVEs : CVE-2026-32120 — NVD · CIRCL
• CVEs : CVE-2026-27943 — NVD · CIRCL
• CVEs : CVE-2026-33305 — NVD · CIRCL
• CVEs : CVE-2026-32122 — NVD · CIRCL
• CVEs : CVE-2026-33934 — NVD · CIRCL
• CVEs : CVE-2026-25930 — NVD · CIRCL
• CVEs : CVE-2026-32121 — NVD · CIRCL
• CVEs : CVE-2026-33932 — NVD · CIRCL
• CVEs : CVE-2026-33346 — NVD · CIRCL
• CVEs : CVE-2026-32125 — NVD · CIRCL
• CVEs : CVE-2026-32118 — NVD · CIRCL
• CVEs : CVE-2026-32124 — NVD · CIRCL
• CVEs : CVE-2026-33933 — NVD · CIRCL
• CVEs : CVE-2026-33303 — NVD · CIRCL
• CVEs : CVE-2026-32119 — NVD · CIRCL
• CVEs : CVE-2026-25476 — NVD · CIRCL
• CVEs : CVE-2026-24488 — NVD · CIRCL
• CVEs : CVE-2026-25928 — NVD · CIRCL

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ aisle.com — source non référencée (0pts)
• ✅ 12686 chars — texte complet (fulltext extrait) (15pts)
• ✅ 38 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 8 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://aisle.com/blog/aisle-discovers-38-critical-security-vulnerabilities-in-healthcare-software-used-by-100000-providers