聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国网络安全和基础设施安全局 (CISA) 警告称,飞利浦 Tasy 电子病历 (EMR) 系统中存在多个严重漏洞,可被远程用于从患者数据库中提取敏感的患者数据。

11月4日,CISA 在医疗公告中指出,“这些漏洞如被成功利用,可导致患者的机密数据遭暴露或从数据库提取,从而使攻击者获得越权访问权限,或者制造拒绝服务条件。”

该系统用于950多家医疗机构中,这些机构主要位于拉美地区,飞利浦 Tasy EMR 旨在成为一体化医疗信息学解决方案,集中化管理门诊、组织和管理进程,如为医疗处方整合分析、计费和库存以及供应管理。

01

严重的SQL 注入缺陷

这些严重漏洞是SQL 注入漏洞 CVE-2021-39375和CVE-2021-39376,影响 Tasy EMR HTML5 3.06.1803 和之前版本,可使攻击者修改SQL数据库命令,导致越权访问、敏感信息暴露甚至执行任意系统命令。这两个漏洞的严重性评分为8.8分。

  • CVE-2021-39375:攻击者可通过 WAdvancedFilter/getDimensionItemsByCode FilterValue 参数在受影响产品中执行SQL注入。

  • CVE-2021-39376:攻击者可通过 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 参数在受影响产品中执行SQL注入。

然而,值得注意的是,要利用这些漏洞,攻击者必须已经具有能够访问受影响系统的权限。

飞利浦公司表示并未收到关于这些漏洞被利用的报告,分析表明该漏洞可能不会影响诊断,患者也不会因此受到伤害。

建议使用受影响EMR系统的所有医疗提供商更新至版本 3.06.1804或后续版本,以免遭攻击。

推荐阅读

第三方组件曝多个严重漏洞,飞利浦 Vue PACS 医学成像系统受影响

飞利浦自曝9个设备漏洞

200万墨西哥病患的医疗数据被暴露;OpenEMR系统存在多个漏洞

原文链接

https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

飞利浦 TASY 电子病历系统中存在严重漏洞,可暴露患者记录相关推荐

  1. 大型医院电子病历系统源码(带编辑器源码)

    源码编号 : MF00044 开发语言 : C# 数据库 : Oracle 源码类型 : WinForm 开源地址:http://www.taoydm.com/#/index/goods/a9b6cc ...

  2. 医院HIS系统与电子病历系统有什么关系

    有很多合作伙伴对HIS系统与电子病历系统有什么关系,或者有什么区别傻傻分不清,今天我们就把二者之间的差异搞明白. HIS系统全称Hospital Information System,直译成中文就是' ...

  3. .NET 开发电子病历系统(EMR)

    医疗行业信息化特点 随着信息技术的发展,以互联网为依托的健康教育.医疗信息查询.电子健康档案.电子处方.等多种形式的医疗健康服务悄然改变着传统医疗服务模式.病历是病人在医院诊断治疗全过程的原始记录,它 ...

  4. HC3i论坛电子病历系统热门资源30个

    基于电力病历的医院信息平台建设技术解决方案 http://bbs.hc3i.cn/thread-114927-1.html 华为统一运维审计解决方案 http://bbs.hc3i.cn/thread ...

  5. 开源开放 | 疾病科室、心血管系统疾病知识图谱发布,助力电子病历系统建设...

    本文转载自公众号:OMAHA联盟. 资源发布 OMAHA已建立"七巧板"医学术语集."汇知"医学知识图谱.HiTA ICD编码服务.白皮书等资源,将于每月发布其 ...

  6. (附源码)计算机毕业设计ssm电子病历系统

    项目运行 环境配置: Jdk1.8 + Tomcat7.0 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclis ...

  7. [附源码]Python计算机毕业设计电子病历系统

    项目运行 环境配置: Pychram社区版+ python3.7.7 + Mysql5.7 + HBuilderX+list pip+Navicat11+Django+nodejs. 项目技术: dj ...

  8. Java云电子病历系统源码,提供电子病历在线制作、管理和使用的一体化电子病历

    这是一套SaaS模式Java版云HIS系统的子系统云电子病历系统源码,本系统采用前后端分离模式开发和部署,支持电子病历四级. 文末获取源码联系! 本电子病历系统主要为医院住院部提供医疗记录依据,协助医 ...

  9. python电子病历交接班系统_电子病历系统开发经验共享,大家共勉!

    写在miforum上的,转帖过来,大家共勉! 半年前,重新回到了医疗信息行业,接受的第一个任务就是电子病历系统开发,我的主要职责是电子病历系统的总体设计和电子病历编辑控件的代码编写.经过3个多月的研发 ...

最新文章

  1. Mysql中分页查询两个方法比较
  2. mysql 完整的增删改查 和单表查询
  3. ubuntu10右键脚本中增加发送到命令
  4. 瓜分60万现金大奖,云原生编程挑战赛等你来挑战!
  5. 14.6.3.1 The InnoDB Buffer Pool
  6. eclipse复制代码连接数据库404_再见,Eclipse ...
  7. 飞鸽传书软件来说到目前为止最难走的路
  8. 用Node-Inspector调试NodeJs程序
  9. java 文件url地址_简单的解析文件,取URL地址,并根据地址抓下页面
  10. 中恒电气成小鹏汽车充电桩供应商 今日涨停
  11. MySQL 5.7 自带的四个数据库 介绍
  12. FAT文件系统原理详细介绍
  13. c语言编程绝对质数,c语言求绝对素数
  14. Python 调用摄像头进行人脸识别
  15. python计算峰度和偏度、相关系数
  16. 一定要记住这20种PS技术!来美化你的照片
  17. 有道翻译爬虫 js逆向
  18. video 设置 poster,默认显示视频第一帧
  19. 考研英语大纲单词E~O与常用短语
  20. Apache Flink 1.14.4 on yarn ha环境搭建

热门文章

  1. android安卓Sqlite数据库实现用户登录注册
  2. 微软企业库Unity学习笔记
  3. javascript 滚动+停留 代码
  4. sql server 索引阐述系列五 索引参数与碎片
  5. 采购中的高级分析方法
  6. 6.1、Android Studio的Android Monitor概览
  7. Signature字段
  8. HTML/CSS/JS/PHPの役割
  9. msdn安装后怎么用_Win10不好用?安装官方版精简Win10后,运行比win7更快更流畅
  10. (libgdx学习)Net的使用