江蘇
關鍵詞
漏洞
近日,應用安全公司 Aisle 在開源電子病歷平臺 OpenEMR 中發現了數十個漏洞,其中包括一些可被利用來竊取敏感患者信息的嚴重問題。
OpenEMR 在全球范圍內被超 10 萬名醫療服務提供者使用,存儲著超 2 億患者的數據。Aisle 對其進行了分析,該公司的自動分析工具識別出 39 個問題,其中 38 個已被分配 CVE 標識符。
此次研究是 OpenEMR 開發者與 Aisle 合作的一部分,所有漏洞均已修復。
大多數安全漏洞是由于授權缺失或授權錯誤導致的。其余漏洞包括跨站腳本(XSS)、SQL 注入、路徑遍歷和會話過期等問題。
Aisle 表示:“在最嚴重的情況下,SQL 注入漏洞與有限的數據庫權限相結合,可能導致數據庫完全被攻破、大規模泄露患者健康信息(PHI),以及在服務器上實現遠程代碼執行。”
該安全公司特別指出了三個可被利用來訪問或更改患者數據的漏洞。其中兩個是嚴重的 SQL 注入漏洞,編號分別為 CVE - 2026 - 24908 和 CVE - 2026 - 23627,任何經過身份驗證的攻擊者利用這兩個漏洞都可能入侵數據庫、泄露數據、竊取憑證并執行任意代碼。
另一個導致患者數據暴露的漏洞是 CVE - 2026 - 24487,這是一個繞過授權的問題。
Aisle 在一篇博客文章中公布了 OpenEMR 的完整 CVE 列表。
研究人員經常發現暴露患者信息的 OpenEMR 嚴重漏洞。
CVEdetails 網站記錄了過去十年間發現的 200 多個漏洞。然而,似乎沒有公開報告證實 OpenEMR 漏洞在實際中被利用。
這可能是因為許多 OpenEMR 部署都設置了防火墻或保持更新,而且醫療保健組織更常受到的攻擊是通過更廣泛的途徑,而非特定應用程序的漏洞。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
