Platform
php
Component
openemr
Opgelost in
8.0.1
CVE-2026-24908 beschrijft een SQL Injection kwetsbaarheid in OpenEMR, een open-source elektronisch patiëntendossier en praktijkbeheersysteem. Deze kwetsbaarheid stelt geauthenticeerde gebruikers met API toegang in staat om willekeurige SQL queries uit te voeren, wat kan leiden tot ernstige gevolgen voor de beveiliging en privacy van patiëntgegevens. De kwetsbaarheid treft versies van OpenEMR tot en met 8.0.0, maar is verholpen in versie 8.0.0.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de OpenEMR database. Aanvallers kunnen gevoelige patiëntgegevens (PHI) zoals medische dossiers, persoonlijke informatie en financiële gegevens inzien, wijzigen of verwijderen. Bovendien kunnen ze credentials compromitteren, waardoor ze verdere toegang tot het systeem kunnen krijgen en mogelijk lateraal kunnen bewegen binnen het netwerk. De impact is aanzienlijk, aangezien OpenEMR vaak wordt gebruikt in zorginstellingen waar de bescherming van patiëntgegevens van cruciaal belang is. Een vergelijkbare kwetsbaarheid in andere webapplicaties met onvoldoende inputvalidatie kan vergelijkbare gevolgen hebben.
CVE-2026-24908 is gepubliceerd op 2026-02-25. Er is momenteel geen openbaar beschikbare proof-of-concept (POC) bekend, maar de ernst van de kwetsbaarheid (CVSS score van 10) suggereert een potentieel hoog risico. Het is raadzaam om de situatie te blijven volgen en te anticiperen op mogelijke exploitatie. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Healthcare providers and organizations utilizing OpenEMR, particularly those relying on the Patient REST API for data access and integration, are at significant risk. Shared hosting environments where multiple OpenEMR instances reside on the same server are also vulnerable, as a compromise of one instance could potentially impact others.
• linux / server:
journalctl -u openemr | grep -i "SQL injection"• generic web:
curl -I 'https://<openemr_host>/api/patient?_sort='; # Check for unusual response headers or errors• database (mysql):
mysql -u <openemr_user> -p -e "SHOW TABLES LIKE 'patient%';"disclosure
patch
Exploit Status
EPSS
0.00% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24908 is het upgraden van OpenEMR naar versie 8.0.0 of hoger, waarin de kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de API toegang tot vertrouwde gebruikers en het implementeren van een Web Application Firewall (WAF) met regels om SQL Injection pogingen te detecteren en te blokkeren. Controleer de OpenEMR configuratie op onnodige API endpoints en beperk de rechten van API gebruikers tot het absolute minimum. Na de upgrade, bevestig de correcte werking van de API endpoints en controleer de logbestanden op verdachte activiteiten.
Werk OpenEMR bij naar versie 8.0.0 of hoger. Deze versie corrigeert de SQL injection kwetsbaarheid in de Patient API. De update voorkomt de uitvoering van willekeurige SQL queries en mogelijke blootstelling van gevoelige informatie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24908 is a critical SQL injection vulnerability in OpenEMR versions prior to 8.0.0, allowing attackers to execute SQL queries through the Patient REST API.
You are affected if you are running OpenEMR versions 8.0.0 or earlier and have not yet upgraded.
Upgrade OpenEMR to version 8.0.0 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
While no public exploitation is confirmed, the vulnerability's severity and ease of exploitation suggest a potential for active exploitation.
Refer to the official OpenEMR security advisory for detailed information and updates: [https://openemr.org/security/](https://openemr.org/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.