飞利浦电子病历系统被曝出高危漏洞,可泄露患者敏感数据

安全
美国网络安全和基础设施安全局发出警告:飞利浦的电子病例系统存在严重漏洞,攻击者可远程利用从患者数据库中提取敏感的个人数据。

据the hacker news网站报道,美国网络安全和基础设施安全局 (CISA) 发出警告称,飞利浦的电子病例系统Tasy EMR存在严重漏洞,攻击者可远程利用这些漏洞从患者数据库中提取敏感的个人数据。

[[434331]]

受影响的主要是Tasy EMR HTML5 3.06.1803及之前的版本,其中的两个SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可让攻击者修改SQL数据库命令,从而进行未经授权的访问并泄露敏感信息,甚至执行任意的系统命令:

  • CVE-2021-39375:允许通过WAdvancedFilter/getDimensionItemsByCode FilterValue 参数进行 SQL 注入
  • CVE-2021-39376:允许通过 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 参数进行 SQL 注入

这两个漏洞的严重性评分高达8.8分(满分10分),但是,利用这些漏洞需要攻击者已经拥有访问系统的凭证。

飞利浦 Tasy EMR主要用于拉美地区的950多家医疗机构,其设计为集成的医疗信息学解决方案,可实现临床、组织和行政流程的集中管理,包括整合分析、计费以及医疗处方的库存和供应管理。

飞利浦在一份咨询报告中指出,目前已经获取了相关的问题信息,但尚未收到有关利用这些漏洞或相关临床使用事件的报告,认为漏洞不太可能影响临床使用,也不会对患者造成伤害。

但为了以防万一,专家还是建议,所有使用该系统的医疗机构应尽快更新到最新的系统版本。

参考来源:https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2023-11-15 12:53:31

2020-05-28 11:09:36

漏洞安全IT

2020-12-04 10:36:12

OpenClinic漏洞破解

2013-11-06 10:22:40

漏洞民生银行Android

2015-07-24 17:33:46

2009-08-03 16:00:12

2022-01-17 12:46:05

API漏洞应用程序安全

2023-10-18 12:15:35

2020-03-25 09:40:57

微软浏览器Windows

2015-03-24 21:08:01

2010-11-04 09:26:56

2019-07-21 08:33:53

浏览器扩展插件安全

2022-02-17 11:54:18

漏洞数据库恶意代码

2023-04-20 18:49:01

2023-12-04 12:02:05

2020-12-20 17:30:17

数据匿名化敏感数据数据库

2009-08-06 08:36:58

Windows 7内存泄露系统崩溃

2019-06-14 09:12:46

漏洞代码攻击

2021-11-16 19:16:18

英特尔漏洞处理器

2023-04-18 19:09:52

点赞
收藏

51CTO技术栈公众号