安全專家聲稱,OpenClinic應用程序目前患有主要缺陷。 Bishop Fox Labs的研究人員發現了四個問題E開源健康記錄管理軟件。
其中之一可以允許攻擊者違反患者保護的健康信息。福克斯福克斯(Bishop Fox)實驗室(Bishop Fox Labs)試圖在發現這些缺陷後多次與Openclinic的開發團隊聯繫。
在確認漏洞很嚴重之後,安全研究人員立即在12月1日向公眾披露了漏洞。健康IT安全最新報告,國土安全部網絡安全和基礎設施安全局也在醫療平台上宣布了12個缺陷。其中包括六個額定額定程度的評級,並將三個評為關鍵問題。
Openclinic最嚴重的缺陷
每日swig報導說,Bishop Fox的高級安全顧問Gerben Kleijn建議用戶尋找替代的醫療保健軟件包。 Kleijn也是發現平台中最危險的缺陷的人。
這是一個高度嚴重性的缺失身份驗證檢查,請檢查發布給醫療測試端點的請求。由於其嚴重性,它可以允許黑客從醫療測試目錄中成功請求包含敏感文檔和用戶數據的文件。
這種缺陷可能導致一種潛在的機制,可以在此過程中訪問患者的測試結果。
OpenClinic的文件上傳缺陷
在醫療平台中也發現了另一個缺陷。這是一個不安全的文件上傳漏洞。此問題可以允許身份驗證的攻擊者在應用程序服務器上實現遠程代碼執行(RCE)。創建RCE後,他們現在可以訪問敏感信息,安裝惡意軟件併升級特權。
到目前為止,如果Openclinic正在修補新發現的缺陷,則尚未發布任何更新。不同的黑客可以通過將惡意文件上傳到“/openclinic/medical/test_new.php”端點來利用缺陷。這不限制可以安裝的文件類型。研究人員還嘗試了此缺陷,並成功發送了一個包含簡單PHP Web殼的文件。
有關其他平台或應用程序中安全漏洞的更多新聞更新,請始終在TechTimes在此處打開選項卡。
本文歸TechTimes擁有。
