據(jù)the hacker news網(wǎng)站報(bào)道，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)出警告稱，飛利浦的電子病例系統(tǒng)Tasy EMR存在嚴(yán)重漏洞，攻擊者可遠(yuǎn)程利用這些漏洞從患者數(shù)據(jù)庫(kù)中提取敏感的個(gè)人數(shù)據(jù)。

[[434331]]

受影響的主要是Tasy EMR HTML5 3.06.1803及之前的版本，其中的兩個(gè)SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可讓攻擊者修改SQL數(shù)據(jù)庫(kù)命令，從而進(jìn)行未經(jīng)授權(quán)的訪問(wèn)并泄露敏感信息，甚至執(zhí)行任意的系統(tǒng)命令：

• CVE-2021-39375：允許通過(guò)WAdvancedFilter/getDimensionItemsByCode FilterValue 參數(shù)進(jìn)行 SQL 注入
• CVE-2021-39376：允許通過(guò) CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 參數(shù)進(jìn)行 SQL 注入

這兩個(gè)漏洞的嚴(yán)重性評(píng)分高達(dá)8.8分(滿分10分)，但是，利用這些漏洞需要攻擊者已經(jīng)擁有訪問(wèn)系統(tǒng)的憑證。

飛利浦 Tasy EMR主要用于拉美地區(qū)的950多家醫(yī)療機(jī)構(gòu)，其設(shè)計(jì)為集成的醫(yī)療信息學(xué)解決方案，可實(shí)現(xiàn)臨床、組織和行政流程的集中管理，包括整合分析、計(jì)費(fèi)以及醫(yī)療處方的庫(kù)存和供應(yīng)管理。

飛利浦在一份咨詢報(bào)告中指出，目前已經(jīng)獲取了相關(guān)的問(wèn)題信息，但尚未收到有關(guān)利用這些漏洞或相關(guān)臨床使用事件的報(bào)告，認(rèn)為漏洞不太可能影響臨床使用，也不會(huì)對(duì)患者造成傷害。

但為了以防萬(wàn)一，專家還是建議，所有使用該系統(tǒng)的醫(yī)療機(jī)構(gòu)應(yīng)盡快更新到最新的系統(tǒng)版本。

參考來(lái)源：https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html