查看原文
其他

开源电子病历OpenEMR曝出严重漏洞,影响全球10万医疗机构

GoUpSec 2023-11-28

点击蓝字 关注我们            ///

@GoUpSec





近日,安全研究人员在流行的开源电子病历系统OpenEMR中发现多个严重漏洞,可被攻击者组合利用,在服务器上远程执行代码。




OpenEMR是一种全球流行的电子病历(EHR)系统和医疗实践管理解决方案,被全球超过10万家医疗机构使用,服务超过2亿患者。


开源OpenEMR项目由非营利组织OpenEMR基金会提供支持,由数百名志愿者和专业人士维护。OpenEMR基金会的愿景是“让每个医疗服务机构都能用上高质量的医疗信息技术。”


专业人士指出,由于OpenEMR是开源软件,非常适合安全研究人员查找漏洞,因为这样做不必担心负面的法律后果。事实上,开源解决方案的安全性正是得益于安全研究人员的努力而不断提升。


三个严重漏洞


安全研究人员Brinkrolf使用SonarSource的静态应用程序安全测试(SAST)引擎分析OpenEMR的软件代码,发现了三个严重漏洞:


  • 经过身份验证的文件读取

  • 经过身份验证的本地文件包含

  • 经过身份验证的反射型XSS


第一个漏洞可能允许未经身份验证的攻击者利用流氓MySQL服务器从OpenEMR实例读取任意文件,包括证书、密码、令牌和备份。后两者可用于接管开放的、易受攻击的OpenEMR实例。SonarSource的公告提供了三个漏洞的更深入的技术细节(链接在文末)。


好消息是,OpenEMR维护人员在不到一周的时间内修复了这些漏洞,并推出了软件的补丁/新版本(v7.0.0)。建议使用OpenEMR的医疗机构尽早升级到该版本。


参考链接:

https://www.sonarsource.com/blog/openemr-remote-code-execution-in-your-healthcare-system/


END


相关阅读

国际红十字会计划实施医疗机构数字保护标志
医疗设备公司Shields泄露200万美国患者数据

2022年医疗器械企业网络安全调查:100%的自信是谁给的?


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存