AISLE Descobre 38 CVEs em Software de Saúde Usado por 100.000 Provedores Médicos

O analisador de IA autônomo da AISLE divulgou 38 CVEs no OpenEMR, a plataforma de prontuário eletrônico certificada pela ONC que atende mais de 100.000 provedores e 200 milhões de pacientes, representando mais da metade de todos os avisos do GitHub do OpenEMR no primeiro trimestre de 2026. As descobertas incluem duas injeções de SQL com CVSS 10.0 (CVE-2026-24908 no parâmetro _sort da Patient REST API e CVE-2026-23627 no campo patient_id de pesquisa/relatório de imunização).

Nestas injeções, a concatenação não sanitizada em cláusulas ORDER BY e WHERE permite extração baseada em UNION, injeção cega baseada em tempo e RCE via privilégios de FILE. Além disso, foi encontrado um bypass de compartimento de paciente FHIR CareTeam (CVE-2026-24487) causado pelo FhirCareTeamService que não implementou a interface marker que aciona os filtros de escopo de paciente, juntamente com uma série de IDORs, XSS armazenado que ultrapassa a fronteira de confiança entre paciente e clínico, path traversals e um bypass de tempo limite de sessão. Defensores que utilizam OpenEMR devem atualizar imediatamente para versões posteriores à 8.0.0 e aos três patches subsequentes de março, auditar a aplicação do escopo do token OAuth2 nos endpoints FHIR e revogar os privilégios de FILE da conta do banco de dados do OpenEMR para conter qualquer comprometimento por injeção de SQL pré-patch.