Érintett rendszerek
OpenMRSOpenMRS Inc.
Érintett verziók
OpenMRS Standalone 2.3.1, OpenMRS Reference Application 2.3.1, és OpenMRS Platform 1.11.5, 1.10.3, és 1.9.10 előtti.
Összefoglaló
A világ legnagyobb nyílt forrsákódú vállalati elektronikus egészségügyi nyílvántartartó rendszere az OpenMRS sérülékenysége vált ismerté, melyet kihasználva a támadó tetszőleges kódot futtathat.
Leírás
A sérülékenységet az OpenMRS Reporting Module 0.9.7 hibás XML feldolgozása okozza.
Ha az Appointment Scheduling UI Module is telepítve van, a távoli kódfuttatásra lehetősége nyílik egy hitelesítetlen felhasználónak is. Továbbá az OpenMRS Standalone 2.3, az OpenMRS Platform 1.11.4 WAR Reporting 0.9.7-el, és az Appointment Scheduling UI 1.0.3 is sérülékenyek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az OpenMRS Standalone 2.3.1, OpenMRS Reference Application 2.3.1, és OpenMRS Platform 1.11.5, 1.10.3, és 1.9.10. veriójára.
Támadás típusa
execute codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: seclists.org