开源OpenEMR项目由非营利组织OpenEMR基金会提供支持，由数百名志愿者和专业人士维护。OpenEMR基金会的愿景是“让每个医疗服务机构都能用上高质量的医疗信息技术。”

专业人士指出，由于OpenEMR是开源软件，非常适合安全研究人员查找漏洞，因为这样做不必担心负面的法律后果。事实上，开源解决方案的安全性正是得益于安全研究人员的努力而不断提升。

• 经过身份验证的文件读取
• 经过身份验证的本地文件包含
• 经过身份验证的反射型XSS

第一个漏洞可能允许未经身份验证的攻击者利用流氓MySQL服务器从OpenEMR实例读取任意文件，包括证书、密码、令牌和备份。后两者可用于接管开放的、易受攻击的OpenEMR实例。SonarSource的公告提供了三个漏洞的更深入的技术细节（链接在文末）。

好消息是，OpenEMR维护人员在不到一周的时间内修复了这些漏洞，并推出了软件的补丁/新版本(v7.0.0)。建议使用OpenEMR的医疗机构尽早升级到该版本。