在共享的电子病历OpenClinic应用程序中发现了四个漏洞。其中人们最关注的是,一个允许远程的未经认证的攻击者从应用程序中读取患者的个人健康信息(PHI)的漏洞。
Bishop Fox的研究人员表示,OpenClinic是一款开源的健康记录管理软件;它的最新版本是2016年发布的0.8.2版,所以漏洞仍然没有被修补。该项目组没有立即回复Threatpost的评论。
据研究人员的说,这四个漏洞涉及身份验证缺失;不安全的文件上传;跨站脚本攻击(XSS);以及路径遍历。最严重的漏洞(CVE-2020-28937)是由于缺少对医疗测试信息请求的认证的检查。
通过认证的医护人员可以为患者上传医学检测文件,然后将其存储在'/tests/'目录中。遗憾的是,系统没有要求患者登录就能查看检验结果。
该公司在周二的帖子中写道,
一个好消息是,攻击者需要知道或猜测存储在"/tests/"目录中的文件名,才能利用该漏洞。
研究人员写道:
医疗记录是地下网络犯罪的热门商品——疯狂的想盗用身份或进行网络钓鱼的诈骗者可以利用存储的个人信息进行使人信以为真的犯罪。
Bishop Fox发现的另一个漏洞允许经过验证的攻击者在应用服务器上进行远程代码执行操作。这个危险的文件上传漏洞(CVE-2020-28939)允许管理员和管理员角色的用户上传恶意文件,如PHP Web shell,从而导致应用服务器上的任意代码执行漏洞。
据Bishop Fox介绍,
应用程序的恶意用户可以利用这个漏洞获得敏感信息的访问权,升级权限,在应用程序服务器上安装恶意程序,或者利用服务器作为跳板获得对内部网络的访问权。
第三个漏洞是一个中等严重程度的存储型XSS漏洞(CVE-2020-28938),允许未经认证的攻击者嵌入一个有效载荷,如果被管理员用户点击,攻击者的账户将会提升权限。
根据Bishop Fox的说法,
Bishop Fox称,这意味着在真实的攻击场景中,攻击者可以向受害者发送一个恶意链接--当点击该链接时,将允许他们以另一个用户的身份来进行攻击。
研究人员解释说,
最后一个漏洞是一个低影响程度的路径遍历问题(没有分配CVE),可以允许通过身份验证的攻击者将文件存储在应用程序服务器的指定目录之外。
根据研究人员的说法,
管理员用户可以通过'/admin/theme_new.php'文件向应用程序上传新的主题,这会导致在安装OpenClinic的目录下的css文件夹下创建新文件。同时可以从css文件夹中导出来,将文件存储在文件系统的其他地方。
Bishop Fox在8月底首次发现了这些bug,并多次尝试通过邮件联系OpenClinic开发团队,但都没有得到回应。
研究人员说,
本文翻译自:https://threatpost.com/electronic-medical-records-openclinic-bugs/161722/如若转载,请注明原文地址。
1.每天看着喜欢的人在线,却硬撑着面子就是不主动说话,中枪的同鞋点下 2.有没...
端口扫描工具主要用于发现网络空间中主机端口的开放情况,黑客常使用其识别网络...
本文转载自网络,原文链接:https://www.toutiao.com/a6915326782178640387/...
联邦调查局警告说,对于K-12教育机构的网络攻击趋势正在加剧。 在FBI和网络安全...
这几天在看经济学家朱嘉明的文章,《数字货币已经实现从边缘到中心的历史性转型...
近日,网友称拼多多APP远程删除照片登上热搜,引发热议。报道称,有网友爆料称拼...
堪称魔幻的2020年马上就要过去了,这一年发生了很多很多变化,疫情在某种程度上...
今年8月,有研究人员发现了Google Play Core Library核心库中发现了一个安全漏洞...
Sudo 是Unix 系统中的程序,可以让系统管理员给与sudoers文件中的用户有限的root...
区块链技术正在助推着全球分布式业务环境中信任问题的长期转变。相互链接的数据...