据黑客新闻网站消息,美国网络安全与基础设施安全局(CISA)发布警告称,飞利浦电子病历系统TasyEMR存在严重漏洞。攻击者可以远程利用这些漏洞从患者数据库中提取敏感的个人数据。受影响的主要是TasyEMRHTML53.06.1803及更早版本。两个SQL注入漏洞-CVE-2021-39375和CVE-2021-39376允许攻击者修改SQL数据库命令以执行未经授权的CVE-2021-39375:允许通过WAdvancedFilter/getDimensionItemsByCodeFilterValue参数进行SQL注入CVE-2021-39376:允许通过CorCad_F2/executaConsultaEspecificoIE_CORPO_ASSIST或CD_USUARIO_CONVENIO参数进行SQL注入这些漏洞的严重性评分高达8.8(满分10),但是,利用它们需要攻击者已经拥有访问系统的凭据。飞利浦TasyEMR主要被拉丁美洲的950多家医疗机构使用。它被设计为一个集成的医疗信息学解决方案,可以实现临床、组织和行政流程的集中管理,包括集成的分析、计费以及医疗处方的库存和管理。供应管理。飞利浦在一份咨询报告中指出,已获得相关问题信息,但尚未收到关于利用这些漏洞或相关临床使用事件的报告,并认为该漏洞不太可能影响临床使用,不会对患者造成伤害.但为以防万一,专家还是建议所有使用该系统的医疗机构尽快更新至最新系统版本。参考来源:https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html
