2022年04月07日
在共享资源的电子病例OpenClinic应用程序中看到了四个漏洞。在其中大家最关心的是,一个容许远程控制的没经验证的攻击者从应用程序中载入患者的个人健康信息(PHI)的漏洞。
Bishop Fox的分析工作员表明,OpenClinic是一款开源系统的身心健康纪录管理系统软件;它的正式版是2016年公布的0.8.2版,因此漏洞依然沒有被修复。该团队沒有马上回应Threatpost的评价。
据科研工作人员的说,这四个漏洞涉及到身份认证缺少;不安全的上传文件;跨站脚本攻击(XSS);及其途径解析x