社区编辑申请
注册/登录
飞利浦电子病历系统被曝出高危漏洞,可泄露患者敏感数据
安全
美国网络安全和基础设施安全局发出警告:飞利浦的电子病例系统存在严重漏洞,攻击者可远程利用从患者数据库中提取敏感的个人数据。

据the hacker news网站报道,美国网络安全和基础设施安全局 (CISA) 发出警告称,飞利浦的电子病例系统Tasy EMR存在严重漏洞,攻击者可远程利用这些漏洞从患者数据库中提取敏感的个人数据。

受影响的主要是Tasy EMR HTML5 3.06.1803及之前的版本,其中的两个SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可让攻击者修改SQL数据库命令,从而进行未经授权的访问并泄露敏感信息,甚至执行任意的系统命令:

  • CVE-2021-39375:允许通过WAdvancedFilter/getDimensionItemsByCode FilterValue 参数进行 SQL 注入
  • CVE-2021-39376:允许通过 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 参数进行 SQL 注入

这两个漏洞的严重性评分高达8.8分(满分10分),但是,利用这些漏洞需要攻击者已经拥有访问系统的凭证。

飞利浦 Tasy EMR主要用于拉美地区的950多家医疗机构,其设计为集成的医疗信息学解决方案,可实现临床、组织和行政流程的集中管理,包括整合分析、计费以及医疗处方的库存和供应管理。

飞利浦在一份咨询报告中指出,目前已经获取了相关的问题信息,但尚未收到有关利用这些漏洞或相关临床使用事件的报告,认为漏洞不太可能影响临床使用,也不会对患者造成伤害。

但为了以防万一,专家还是建议,所有使用该系统的医疗机构应尽快更新到最新的系统版本。

参考来源:https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-05 21:09:47

Python办公自动化

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 13:34:46

漏洞网络攻击

2022-06-15 08:21:49

Linux运维工程师

2022-06-15 08:25:07

Python天气数据可视化分析

2022-06-20 14:57:50

漏洞安全威胁

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-09 18:04:46

网络攻击网络安全

2022-06-23 12:03:00

网络安全网络安全事故

2022-04-02 19:18:12

漏洞黑客

2022-03-30 09:09:39

漏洞网络安全网络攻击

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-17 11:24:52

2022-06-16 15:42:16

攻击面管理ASM

2022-06-28 12:14:02

DockerLinux

2022-06-29 16:33:52

安全信息泄露信息安全

2022-06-21 21:47:13

数据系统

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-22 05:53:49

城域网广域网VXLAN

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号