9VSA23-00780-01 CSIRT alerta de vulnerabilidades críticas en OpenEMR
Resumen
El CSIRT de Gobierno comparte información sobre tres vulnerabilidades que afecta a OpenEMR, sistema usado por organizaciones de salud. Dos de las vulnerabilidades permiten, de ser explotadas de forma combinadas, la ejecución remota de código (RCE).
Las vulnerabilidades son resueltas en OpenEMR versión 7.0.0.
Vulnerabilidades
CVE no disponible
CVE no disponible
CVE no disponible
Impacto
Vulnerabilidades de riesgo crítico
Dos de las vulnerabilidades pueden ser usadas de forma combinada para ejecutar comandos arbitrarios de sistema en cualquier servidor OpenEMR, y así robar datos sensibles de los pacientes, pudiendo en el peor de los casos comprometer a toda la infraestructura crítica.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
OpenEMR anteriores a la versión 7.0.0.
Enlaces
https://www.sonarsource.com/blog/openemr-remote-code-execution-in-your-healthcare-system/
https://www.open-emr.org/wiki/index.php/OpenEMR_Patches#7.0.0_Patch_.2811.2F30.2F22.29
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00780-01.