易受 SQL 注入攻擊的飛利浦 Tasy EMR 醫療保健信息解決方案

飛利浦 Tasy EMR 是一種全面的醫療信息學解決方案，主要在南美洲的數千家醫院和醫療基礎設施中使用。該產品受到兩個關鍵 SQL 注入漏洞的影響，分別跟蹤為 CVE-2021-39375 和 CVE-2021-39376。

這兩個問題都會影響 Tasy EMR HTML5 3.06.1803 版本及之前版本，該公司通過發布 3.06.1804 版本解決了這些問題。這些漏洞的 CVSS v3 嚴重性評分為 8.8。這些漏洞被評為嚴重漏洞，因為攻擊者可以利用它們來訪問敏感的醫療數據，例如患者記錄和財務數據。

飛利浦醫療保健 Tasy 電子病歷 (EMR) 3.06 允許通過 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 和 WAdvancedFilter/getDimensionItemsByCode FilterValue 參數進行 SQL 注入。

這兩個 SQL 注入漏洞都是由 SQL 命令中特殊字符的不當轉義引起的。

“成功利用這些漏洞可能會導致患者的機密數據被泄露或從 Tasy 的數據庫中提取，提供未經授權的訪問，或造成拒絕服務條件。” 讀取咨詢的CISA出版。

“觀察到任何可疑惡意活動的組織應遵循其既定的內部程序，并將他們的發現報告給 CISA，以跟蹤和關聯其他事件，”