飞利浦TASY EMR的关键缺陷可能会暴露患者数据

美国网络安全和基础设施安全局（CISA）警告说，存在影响网络安全的关键漏洞飞利浦塔西电子病历（EMR）系统远程威胁参与者可以利用这一点从患者数据库中提取敏感的个人数据。

"Successful exploitation of these vulnerabilities could result in patients' confidential data being exposed or extracted from Tasy's database, give unauthorized access, or create a denial-of-service condition," CISA said in a medical bulletin issued on November 4.

飞利浦Tasy EMR主要用于拉丁美洲的950多家医疗机构，是一个集成的医疗信息解决方案，能够集中管理临床、组织和管理流程，包括合并分析、计费、库存和医疗处方供应管理。

SQL注入缺陷—；CVE-2021-39375和CVE-2021-39376—；影响Tasy EMR HTML5 3.06.1803及之前版本，并可能本质上允许攻击者修改SQL数据库命令，导致未经授权的访问、敏感信息的泄露，甚至执行任意系统命令。这两个安全问题的严重性在10个问题中排名为8.8：

• CVE-2021-39375（CVSS分数：8.8）：受影响的产品允许通过WAdvancedFilter/getDimensionItemsByCode FilterValue参数进行SQL注入。
• CVE-2021-39376（CVSS分数：8.8）：受影响的产品允许通过CorCad_F2/ExecutaConsultateSpecific IE_CORPO_ASSIST或CD_USUARIO_Convention参数进行SQL注入。

然而，值得注意的是，利用这些漏洞需要威胁参与者已经拥有授权访问受影响系统的凭据。

这家荷兰公司在一份咨询报告中指出：“目前，飞利浦尚未收到任何关于利用这些漏洞或临床使用事件的报告，而我们能够将其与该问题联系起来。”。“飞利浦的分析表明，该漏洞不太可能影响临床使用。飞利浦的分析还表明，预计不会因该问题对患者造成危害。”

建议所有使用易受攻击版本的EMR系统的医疗保健提供商尽快更新至3.06.1804或更高版本，以防止潜在的实际攻击。