KI-Analyse deckt 38 Schwachstellen in der Open-Source-Plattform OpenEMR auf

Zusammenfassung

Eine KI-gestützte Analyse des Quellcodes von OpenEMR hat 38 bislang unbekannte Schwachstellen in der quelloffenen Plattform für elektronische Gesundheitsakten zutage gefördert. Die Software wird nach Angaben der Forscher weltweit von mehr als 100.000 Gesundheitsdienstleistern eingesetzt. Verantwortlich für die Untersuchung ist das Sicherheitsunternehmen Aisle, das seine KI-gestützte Plattform nutzte, um den OpenEMR-Code autonom zu durchsuchen. Die Schwerpunkte der Funde reichen von mittlerem bis kritischem Schweregrad und umfassen fehlende oder fehlerhafte Berechtigungsprüfungen, Cross-Site-Scripting (XSS), SQL-Injection, Path Traversal sowie Probleme im Zusammenhang mit Sitzungen. Alle Schwachstellen sind inzwischen behoben. Laut Aisle hätten die Fehler eine breite Palette von Angriffen ermöglicht: In den schwerwiegendsten Fällen hätten SQL-Injection-Lücken in Verbindung mit moderaten Datenbankrechten zu einer vollständigen Kompromittierung der Datenbank, zur massenhaften Entwendung von Patientendaten und zur Ausführung von Schadcode auf dem Server führen können. Aisle entdeckte die 38 neuen CVEs innerhalb von nur drei Monaten und meldete sie dem OpenEMR-Team, das im Februar eine aktualisierte Version (8.0.0) veröffentlichte und im März weitere Patches nachreichte.

Aisle hob in seinem Bericht drei der neu entdeckten Schwachstellen besonders hervor. Die schwerste davon, CVE-2026-24908, erreicht mit einem CVSS-Wert von 10.0 den maximalen Schweregrad und betrifft die Patient-REST-API von OpenEMR, über die externe Systeme Patientenakten anfordern und abrufen können. Die SQL-Injection-Lücke erlaubt jedem Nutzer mit gültigen Anmeldedaten, Passwort-Hashes auszulesen und den Inhalt beliebiger Datenbanktabellen zu durchsuchen. Unter bestimmten Bedingungen lassen sich darüber beliebige Dateien auf dem Server lesen oder schreiben und das zugrunde liegende System vollständig fernsteuern.

Eine ähnliche SQL-Injection-Schwachstelle ist CVE-2026-23627 (CVSS 8.8), die das Modul zur Impfdokumentation betrifft. Ein authentifizierter Angreifer kann mit speziell präparierten SQL-Abfragen die Datenbank übernehmen, Gesundheitsdaten und Zugangsdaten von Patienten stehlen und unter Umständen Schadcode ausführen.

Bei CVE-2026-24487 (CVSS 6.5) handelt es sich um einen Fehler in der Berechtigungsprüfung am FHIR-CareTeam-Endpunkt, über den externe Gesundheitssysteme die einem Patienten zugeordneten Behandelnden abrufen. Statt nur die Daten des jeweiligen Patienten zurückzugeben, lieferte die Schnittstelle fälschlicherweise die Daten sämtlicher Patienten im System.

Aisle entdeckte die Schwachstellen innerhalb von nur drei Monaten. Zum Vergleich verweist das Unternehmen auf ein unabhängiges Sicherheitsaudit von OpenEMR aus dem Jahr 2018, bei dem ein Team von Sicherheitsforschern deutlich länger brauchte und mit 23 Schwachstellen weniger Funde verzeichnete. Der Fall ist damit ein weiteres Beispiel dafür, wie KI-gestützte Werkzeuge die Schwachstellenforschung verändert und einst monatelange manuelle Analysen auf Wochen oder Tage verkürzt haben.

Diese Beschleunigung bringt für Sicherheitsteams neue Herausforderungen bei Sichtung, Priorisierung und Behebung mit sich, zumal viele der von KI aufgespürten Probleme sich als unbedeutend oder irrelevant erweisen. Hinzu kommt die wachsende Sorge, dass Angreifer dieselben Werkzeuge einsetzen, um Schwachstellen und Exploits aufzudecken, bevor Verteidiger reagieren können – eine Befürchtung, die zuletzt zum Start von Anthropics Project Glasswing führte.

Für jede der 38 Schwachstellen schlug Aisle zudem Korrekturen vor, die die OpenEMR-Maintainer prüfen und direkt in ihren bestehenden Code übernehmen konnten. OpenEMR hat den KI-gestützten Analyzer von Aisle inzwischen in seinen Code-Review-Prozess eingebunden, um neuen Code automatisch auf Schwachstellen zu prüfen, bevor er in Produktion geht.

KI-Analyse deckt 38 Schwachstellen in der Open-Source-Plattform OpenEMR auf

Ähnliche Artikel

Neueste Artikel