OpenEMR开源医疗管理软件 曝多个严重高危漏洞可泄露全部数据

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

研究人员在OpenEMR软件中发现了近二十二个漏洞,其中包括可用于未经授权访问医疗记录的严重漏洞。

OpenEMR开源医疗管理软件 曝多个严重高危漏洞可泄露全部数据

OpenEMR是一种非常受欢迎的开源管理软件,用于健康记录和医疗实践。免费应用程序提供了广泛的功能,可以在各种操作系统上运行,包括Windows,Linux和macOS。

提供渗透测试,漏洞评估和其他网络安全服务的Project Insecurity的研究人员对OpenEMR源代码进行了详细分析。该分析基于手动源代码审查和Burp测试,并导致发现23个缺陷。在OpenEMR中发现了严重的缺陷

其中15个安全漏洞被评为“高严重性”。其中包括允许攻击者访问患者门户的身份验证绕过问题,SQL注入漏洞,远程命令执行错误以及任意文件读/写问题。

未经身份验证的攻击者可以通过导航到患者注册页面然后修改URL来访问通常需要身份验证的页面(包括存储患者数据的页面)来利用身份验证绕过漏洞。

专家发现共有9个SQL注入漏洞,包括提供对存储敏感信息的数据库的访问漏洞。利用SQL注入漏洞需要身份验证,但可以使用上述安全绕过来实现。

专家已经确定了四个远程命令执行缺陷,但它们都需要身份验证,包括某些情况下的管理员权限。

研究人员还发现可以利用漏洞上传,读取或删除系统上的文件。开发需要身份验证,但其影响可能很大。

根据Project Insecurity,OpenEMR受到多个跨站点请求伪造(CSRF)漏洞的影响。在某些情况下,如果攻击者可以说服管理员点击恶意链接,则可利用这些漏洞升级权限并执行任意代码。

Project Insecurity发现的其他漏洞包括不受限制的文件上载,信息泄露以及其他分类为中等或低严重性的问题。

Project Insecurity发布了一份长达28页的报告,详细说明了每个缺陷,包括影响,原因和概念验证(PoC)代码。该报告还分享了如何解决安全漏洞的建议。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!