تمكنت عملية تحليل برمجية متقدمة، مدعومة بتقنيات الذكاء الاصطناعي، من رصد 38 ثغرة أمنية لم تكن معروفة سابقاً في منصة OpenEMR. وتُعد هذه المنصة نظاماً مفتوح المصدر مخصصاً لإدارة السجلات الصحية الإلكترونية، حيث يعتمد عليها أكثر من 100 ألف مقدم للرعاية الصحية حول العالم.
وقد كشفت التفاصيل أن خطورة هذه العيوب البرمجية تتفاوت بين المستويين المتوسط والحرج. وبحسب التقارير الرسمية، فقد تمت معالجة كافة الثغرات عبر إصدار تصحيحات أمنية عاجلة؛ لضمان استمرارية حماية بيانات المرضى وسلامتها.
تطور أدوات الفحص الآلي واكتشاف العيوب
استخدم باحثون من شركة Aisle محللاً آلياً يعتمد على تقنيات الذكاء الاصطناعي لفحص الشفيرة المصدرية الخاصة بالمنصة خلال الربع الأول من عام 2026. وقد أسفر هذا الفحص الدقيق عن تحديد 38 معرفاً للثغرات الأمنية (CVE) في غضون ثلاثة أشهر فقط، وهو ما يمثل أكثر من نصف التنبيهات الأمنية المنشورة لمنصة OpenEMR على موقع GitHub خلال تلك الفترة. ويعكس هذا الرقم الدور المتزايد لأدوات الذكاء الاصطناعي في تسريع اكتشاف العيوب البرمجية المعقدة، وتقليص الوقت المستغرق في المراجعات اليدوية التقليدية.
ارتبطت السيناريوهات الأكثر خطورة بثغرات حقن SQL، وهي عيوب برمجية تتيح إرسال أوامر غير مشروعة إلى قاعدة البيانات عبر التطبيق. ويؤدي استغلال هذه الثغرات، بالتزامن مع وجود صلاحيات محدودة على قاعدة البيانات، إلى اختراق كامل للمعلومات واستخراج بيانات صحية محمية على نطاق واسع، وصولاً إلى تنفيذ أوامر برمجية عن بُعد على الخادم.
كما شملت الفئات المكتشفة أخطاء في التحقق من الصلاحيات، وثغرات البرمجة النصية عبر المواقع (XSS) التي تسمح بحقن أوامر خبيثة داخل صفحات الويب. بالإضافة إلى ذلك، تم رصد مشكلات تتعلق بالتنقل داخل المسارات وعيوب في إدارة الجلسات التي تنظم حالة دخول المستخدم وتفاعله مع النظام.
تفاصيل الثغرات الحرجة ومعايير الخطورة
سجلت التقارير التقنية 3 ثغرات رئيسية، تصدرتها الثغرة ذات المعرف (CVE-2026-24908 بتقييم CVSS عند 9.9). تكمن هذه الثغرة في واجهة Patient REST API، حيث تتيح لمستخدم يمتلك بيانات دخول صالحة استغلالها للحصول على قيم تجزئة كلمات المرور والاطلاع على جداول قاعدة البيانات. وقد يمتد أثرها في حالات معينة ليشمل قراءة الملفات الحساسة على الخادم أو تعديلها، ما يؤدي في النهاية إلى السيطرة الكاملة على النظام الصحي.
وفي المرتبة الثانية، ظهرت الثغرة (CVE-2026-23627 بتقييم CVSS عند 8.8) ضمن وحدة تتبع التحصينات؛ وهي تسمح لمهاجم موثق بإرسال استعلامات معدلة للاستيلاء على قاعدة البيانات وسرقة معلومات المرضى والبيانات الاعتمادية. كما ارتبطت الثغرة الثالثة (CVE-2026-24487 بتقييم CVSS عند 6.5) بتجاوز الصلاحيات في نقطة FHIR CareTeam، إذ كانت هذه النقطة تعيد بيانات جميع المرضى بدلاً من حصرها في بيانات المريض المعني بالطلب فقط.
إلى جانب ذلك، أشارت تقارير إلى ثغرة إضافية تحمل المعرف (CVE-2026-24898 بتقييم CVSS عند 10) تتعلق بإفصاح غير موثق عن هوية المرضى. وتكمن خطورة هذه الثغرة في عدم تطلبها لبيانات دخول إذا كانت نسخة OpenEMR متصلة مباشرة بالإنترنت؛ حيث يتيح استغلال مكون MedEx الحصول على رموز API تفتح المسار للوصول إلى هويات المرضى ومعلومات مواعيدهم.
الاستجابة التقنية وتأمين بيئة الإنتاج
أعلنت OpenEMR إطلاق الإصدار 8.0.0 في فبراير 2026، وألحقت به تصحيحات إضافية في مارس لمعالجة كافة المشكلات المبلغ عنها. وفي خطوة استباقية، دمج الفريق المطور محلل شركة Aisle الآلي بشكل دائم في عملية مراجعة الشيفرة البرمجية لفحص التعديلات الجديدة دورياً.
تهدف هذه الخطوة إلى رصد الثغرات قبل انتقالها إلى بيئة الإنتاج، وهي المرحلة التي يكون فيها النظام متاحاً للاستخدام الفعلي من قبل الأطباء والمرضى، وذلك لضمان تطبيق أعلى مستويات الأمان السيبراني وحماية البيانات.
