El CSIRT de Gobierno comparte información sobre tres vulnerabilidades que afecta a OpenEMR, sistema usado por organizaciones de salud. Dos de las vulnerabilidades permiten, de ser explotadas de forma combinadas, la ejecución remota de código (RCE).

Las vulnerabilidades son resueltas en OpenEMR versión 7.0.0.

Vulnerabilidades

CVE no disponible

CVE no disponible

CVE no disponible

Impacto

Vulnerabilidades de riesgo crítico

Dos de las vulnerabilidades pueden ser usadas de forma combinada para ejecutar comandos arbitrarios de sistema en cualquier servidor OpenEMR, y así robar datos sensibles de los pacientes, pudiendo en el peor de los casos comprometer a toda la infraestructura crítica.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

OpenEMR anteriores a la versión 7.0.0.

Enlaces

https://www.sonarsource.com/blog/openemr-remote-code-execution-in-your-healthcare-system/

https://www.open-emr.org/wiki/index.php/OpenEMR_Patches#7.0.0_Patch_.2811.2F30.2F22.29

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00780-01.