PT-2020-17063 · Openclinic · Openclinic
Gerben Kleijn
·
Publicado
2020-12-03
·
Atualizado
2021-07-21
·
CVE-2020-28937
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OpenClinic versão 0.8.2
Descrição
A vulnerabilidade permite que usuários não autenticados acessem os resultados de exames médicos de qualquer paciente, o que pode resultar na divulgação de Informações de Saúde Protegidas (PHI) armazenadas no aplicativo. Isso pode ser feito por meio de uma solicitação direta ao URI “/tests/”.
Recomendações
Para a versão 0.8.2 do OpenClinic, considere restringir o acesso ao URI “/tests/” até que uma correção esteja disponível. Como solução temporária, implemente mecanismos de autenticação adequados para impedir o acesso não autenticado aos resultados de exames médicos dos pacientes.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclinic