📄 Description (English)
OpenEMR is a free and open source electronic health records and medical practice management application. Prior to version 8.0.0.3, the legacy patient notes functions in `library/pnotes.inc.php` perform updates and deletes using `WHERE id = ?` without verifying that the note belongs to a patient the user is authorized to access. Multiple web UI callers pass user-controlled note IDs directly to these functions. This is the same class of vulnerability as CVE-2026-25745 (REST API IDOR), but affects the web UI code paths. Version 8.0.0.3 patches the issue.
🤖 AI Executive Summary
OpenEMR versions prior to 8.0.0.3 contain an Insecure Direct Object Reference (IDOR) vulnerability in patient notes functionality that allows authenticated users to access, modify, or delete patient notes belonging to other patients without authorization. This critical healthcare data exposure vulnerability affects medical practice management systems across Saudi Arabia's healthcare sector. Immediate patching to version 8.0.0.3 or later is essential to prevent unauthorized access to sensitive patient medical records.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 26, 2026 11:49
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses severe risk to Saudi healthcare organizations including Ministry of Health facilities, private hospitals, and clinics using OpenEMR. Primary impact: (1) Healthcare sector - unauthorized access to confidential patient medical records violates HIPAA-equivalent regulations and Saudi healthcare privacy laws; (2) ARAMCO healthcare facilities and corporate clinics; (3) Private healthcare providers and diagnostic centers; (4) Telehealth platforms integrated with OpenEMR. The IDOR vulnerability allows any authenticated user (including administrative staff, billing personnel, or compromised accounts) to access, modify, or delete patient notes across the entire system, creating significant compliance violations with SAMA healthcare cybersecurity requirements and NCA data protection mandates.
🏢 Affected Saudi Sectors
Healthcare
Government Health Services
Private Hospitals and Clinics
Diagnostic Centers
Telehealth Providers
Corporate Healthcare (ARAMCO, STC)
Medical Research Institutions
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.7
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all OpenEMR instances in your organization and document current versions
2. Restrict access to patient notes functionality to authorized personnel only
3. Review access logs for suspicious note access patterns (cross-patient access)
4. Notify affected patients if unauthorized access is confirmed
PATCHING GUIDANCE:
1. Upgrade OpenEMR to version 8.0.0.3 or later immediately
2. Test patch in non-production environment first
3. Backup all patient data before applying patches
4. Verify patch application by checking version in system settings
COMPENSATING CONTROLS (if immediate patching not possible):
1. Implement network-level access controls restricting OpenEMR access to authorized medical staff only
2. Disable legacy patient notes functionality if not actively used
3. Implement database-level row-level security (RLS) to restrict patient note visibility by user role
4. Enable comprehensive audit logging for all patient note access and modifications
5. Implement real-time alerting for cross-patient note access attempts
DETECTION RULES:
1. Monitor for HTTP requests to pnotes.inc.php with note IDs not matching user's assigned patients
2. Alert on DELETE/UPDATE operations on patient notes where user_id does not match note owner
3. Track access patterns showing single user accessing notes from multiple unrelated patients
4. Monitor for rapid sequential note access across different patient IDs
5. Log all modifications to patient notes with user attribution for forensic analysis
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات OpenEMR في مؤسستك وقم بتوثيق الإصدارات الحالية
2. قيد الوصول إلى وظائف ملاحظات المريض للموظفين المصرحين فقط
3. راجع سجلات الوصول للبحث عن أنماط وصول مريبة لملاحظات (وصول عابر للمريض)
4. أخطر المرضى المتأثرين إذا تم تأكيد الوصول غير المصرح
إرشادات التصحيح:
1. قم بترقية OpenEMR إلى الإصدار 8.0.0.3 أو أحدث على الفور
2. اختبر التصحيح في بيئة غير الإنتاج أولاً
3. قم بعمل نسخة احتياطية من جميع بيانات المريض قبل تطبيق التصحيحات
4. تحقق من تطبيق التصحيح بالتحقق من الإصدار في إعدادات النظام
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
1. تنفيذ ضوابط الوصول على مستوى الشبكة تقيد وصول OpenEMR للموظفين الطبيين المصرحين فقط
2. تعطيل وظائف ملاحظات المريض القديمة إذا لم تكن قيد الاستخدام النشط
3. تنفيذ أمان على مستوى الصف في قاعدة البيانات (RLS) لتقييد رؤية ملاحظات المريض حسب دور المستخدم
4. تمكين تسجيل التدقيق الشامل لجميع عمليات الوصول إلى ملاحظات المريض والتعديلات
5. تنفيذ التنبيهات في الوقت الفعلي لمحاولات الوصول إلى ملاحظات عابرة للمريض
قواعد الكشف:
1. مراقبة طلبات HTTP إلى pnotes.inc.php برقم ملاحظة لا يطابق مرضى المستخدم المعينين
2. تنبيه على عمليات DELETE/UPDATE على ملاحظات المريض حيث user_id لا يطابق مالك الملاحظة
3. تتبع أنماط الوصول التي تظهر مستخدماً واحداً يصل إلى ملاحظات من عدة مرضى غير مرتبطين
4. مراقبة الوصول السريع المتسلسل إلى ملاحظات عبر معرفات مرضى مختلفة
5. تسجيل جميع التعديلات على ملاحظات المريض مع نسب المستخدم للتحليل الجنائي
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.9.1.1 - Access control policy and procedures
ECC 2024 A.9.2.1 - User registration and access rights management
ECC 2024 A.9.4.3 - Password management system
ECC 2024 A.10.1.1 - Information security event logging
ECC 2024 A.12.4.1 - Event logging requirements
ECC 2024 A.14.2.1 - Secure development policy
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Asset Management
SAMA CSF PR.AC-1 - Access Control
SAMA CSF PR.AC-3 - Access Enforcement
SAMA CSF DE.AE-1 - Audit and Accountability
SAMA CSF DE.CM-1 - Detection and Analysis
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of duties
ISO 27001:2022 A.8.2 - User access management
ISO 27001:2022 A.8.3 - User responsibilities
ISO 27001:2022 A.8.4 - Access rights review
ISO 27001:2022 A.8.5 - Access rights removal
ISO 27001:2022 A.8.15 - Logging
ISO 27001:2022 A.8.16 - Monitoring
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Inventory of network resources
PCI DSS 6.2 - Security patches and updates
PCI DSS 7.1 - Limit access to system components
PCI DSS 10.1 - Implement audit trails
🔗 References & Sources 3
🔗
https://github.com/openemr/openemr/commit/214c9b4585a6f1c8c22750172d47f0e258fec0bf
security-advisories@github.com
Patch
🔗
https://github.com/openemr/openemr/releases/tag/v8_0_0_3
security-advisories@github.com
Product
🔗
https://github.com/openemr/openemr/security/advisories/GHSA-8gj5-r8vm-mghq
security-advisories@github.com
Vendor Advisory
📦 Affected Products / CPE 1 entries
open-emr:openemr