据the hacker news美国网络安全和基础设施安全局 (CISA) 警告称,飞利浦的电子病例系统Tasy EMR攻击者可以远程利用这些漏洞从患者数据库中提取敏感的个人数据。
主要是受影响Tasy EMR HTML5 3.06.1803以及之前的两个版本SQL注入缺陷——CVE-2021-39375和CVE-2021-39376攻击者可以修改SQL未经授权访问数据库命令,泄露敏感信息,甚至执行任何系统命令:
- CVE-2021-39375:允许通过WAdvancedFilter/getDimensionItemsByCode FilterValue 参数 SQL 注入
- CVE-2021-39376:允许通过 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 参数进行 SQL 注入
这两个漏洞的严重性得分高达8.8分数(满分10分),但利用这些漏洞需要攻击者有访问系统的凭证。
飞利浦 Tasy EMR主要用于拉丁美洲950多家医疗机构,设计为综合医疗信息解决方案,可实现临床、组织、行政流程的集中管理,包括综合分析、收费、医疗处方库存和供应管理。
飞利浦在一份咨询报告中指出,它已经获得了相关的问题信息,但尚未收到利用这些漏洞或相关临床使用事件的报告,认为漏洞不太可能影响临床使用,也不会对患者造成伤害。
但专家建议,所有使用该系统的医疗机构应尽快更新到最新的系统版本。
参考来源:https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html