ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → OpenEMR开源医疗管理软件 曝多个严重高危漏洞可泄露全部数据

OpenEMR开源医疗管理软件 曝多个严重高危漏洞可泄露全部数据

时间:2018-08-10 00:00:00人气:作者:本站作者我要评论

研究人员在OpenEMR软件中发现了近二十二个漏洞,其中包括可用于未经授权访问医疗记录的严重漏洞。

OpenEMR开源医疗管理软件 曝多个严重高危漏洞可泄露全部数据

OpenEMR是一种非常受欢迎的开源管理软件,用于健康记录和医疗实践。免费应用程序提供了广泛的功能,可以在各种操作系统上运行,包括Windows,Linux和macOS。

提供渗透测试,漏洞评估和其他网络安全服务的Project Insecurity的研究人员对OpenEMR源代码进行了详细分析。该分析基于手动源代码审查和Burp测试,并导致发现23个缺陷。在OpenEMR中发现了严重的缺陷

其中15个安全漏洞被评为“高严重性”。其中包括允许攻击者访问患者门户的身份验证绕过问题,SQL注入漏洞,远程命令执行错误以及任意文件读/写问题。

未经身份验证的攻击者可以通过导航到患者注册页面然后修改URL来访问通常需要身份验证的页面(包括存储患者数据的页面)来利用身份验证绕过漏洞。

专家发现共有9个SQL注入漏洞,包括提供对存储敏感信息的数据库的访问漏洞。利用SQL注入漏洞需要身份验证,但可以使用上述安全绕过来实现。

专家已经确定了四个远程命令执行缺陷,但它们都需要身份验证,包括某些情况下的管理员权限。

研究人员还发现可以利用漏洞上传,读取或删除系统上的文件。开发需要身份验证,但其影响可能很大。

根据Project Insecurity,OpenEMR受到多个跨站点请求伪造(CSRF)漏洞的影响。在某些情况下,如果攻击者可以说服管理员点击恶意链接,则可利用这些漏洞升级权限并执行任意代码。

Project Insecurity发现的其他漏洞包括不受限制的文件上载,信息泄露以及其他分类为中等或低严重性的问题。

Project Insecurity发布了一份长达28页的报告,详细说明了每个缺陷,包括影响,原因和概念验证(PoC)代码。该报告还分享了如何解决安全漏洞的建议。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网