據(jù)the hacker news網(wǎng)站報(bào)道，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出警告稱，飛利浦的電子病例系統(tǒng)Tasy EMR存在嚴(yán)重漏洞，攻擊者可遠(yuǎn)程利用這些漏洞從患者數(shù)據(jù)庫中提取敏感的個(gè)人數(shù)據(jù)。

員工經(jīng)過長期磨合與沉淀，具備了協(xié)作精神，得以通過團(tuán)隊(duì)的力量開發(fā)出優(yōu)質(zhì)的產(chǎn)品。成都創(chuàng)新互聯(lián)公司堅(jiān)持“專注、創(chuàng)新、易用”的產(chǎn)品理念，因?yàn)椤皩Ｗ⑺詫I(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡單”。公司專注于為企業(yè)提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、微信公眾號(hào)開發(fā)、電商網(wǎng)站開發(fā)，小程序設(shè)計(jì)，軟件按需定制等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。

受影響的主要是Tasy EMR HTML5 3.06.1803及之前的版本，其中的兩個(gè)SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可讓攻擊者修改SQL數(shù)據(jù)庫命令，從而進(jìn)行未經(jīng)授權(quán)的訪問并泄露敏感信息，甚至執(zhí)行任意的系統(tǒng)命令：

• CVE-2021-39375：允許通過WAdvancedFilter/getDimensionItemsByCode FilterValue 參數(shù)進(jìn)行 SQL 注入
• CVE-2021-39376：允許通過 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 參數(shù)進(jìn)行 SQL 注入

這兩個(gè)漏洞的嚴(yán)重性評(píng)分高達(dá)8.8分(滿分10分)，但是，利用這些漏洞需要攻擊者已經(jīng)擁有訪問系統(tǒng)的憑證。

飛利浦 Tasy EMR主要用于拉美地區(qū)的950多家醫(yī)療機(jī)構(gòu)，其設(shè)計(jì)為集成的醫(yī)療信息學(xué)解決方案，可實(shí)現(xiàn)臨床、組織和行政流程的集中管理，包括整合分析、計(jì)費(fèi)以及醫(yī)療處方的庫存和供應(yīng)管理。

飛利浦在一份咨詢報(bào)告中指出，目前已經(jīng)獲取了相關(guān)的問題信息，但尚未收到有關(guān)利用這些漏洞或相關(guān)臨床使用事件的報(bào)告，認(rèn)為漏洞不太可能影響臨床使用，也不會(huì)對(duì)患者造成傷害。

但為了以防萬一，專家還是建議，所有使用該系統(tǒng)的醫(yī)療機(jī)構(gòu)應(yīng)盡快更新到最新的系統(tǒng)版本。

參考來源：https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html

標(biāo)題名稱：飛利浦電子病歷系統(tǒng)被曝出高危漏洞，可泄露患者敏感數(shù)據(jù)
本文網(wǎng)址：http://uogjgqi.cn/article/cocehpj.html