Vulnerabilidades críticas do OpenEMR podem permitir que invasores acessem os registros de saúde dos pacientes

Views: 408
0 0
Read Time:1 Minute, 51 Second

Vulnerabilidades críticas descobertas no OpenEMR podem ser encadeadas para obter a execução do código em um servidor que executa uma versão vulnerável do popular sistema de registros eletrônicos de saúde de código aberto.

Descobertas, relatadas em particular e agora documentadas publicamente pelo pesquisador Dennis Brinkrolf, as vulnerabilidades foram prontamente corrigidaspelos mantenedores do OpenEMR no final de novembro de 2022.

Sobre o OpenEMR

O OpenEMR é um sistema de registro eletrônico de saúde (EHR) e uma solução de gerenciamento de prática médica que “é usado por mais de 100.000 provedores médicos que atendem a mais de 200 milhões de pacientes” em todo o mundo.

O projeto OpenEMR de código aberto é apoiado pela organização sem fins lucrativos OpenEMR Foundation e é mantido por centenas de voluntários e profissionais. A visão orientadora da OpenEMR Foundation é “Um mundo onde todos os profissionais de saúde tenham acesso à tecnologia de informação de saúde de alta qualidade”.

Como outros observaram anteriormente , o OpenEMR sendo de código aberto é ótimo para pesquisadores de segurança que desejam investigá-lo em busca de vulnerabilidades, pois podem fazê-lo sem se preocupar com consequências legais negativas. Na verdade, a segurança das soluções de código aberto depende e é fortalecida por esses esforços.

Sobre as vulnerabilidades

Brinkrolf encontrou três vulnerabilidades analisando o código do software com o mecanismo de teste de segurança de aplicativo estático (SAST) do SonarSource:

  • Uma leitura de arquivo autenticado
  • Uma inclusão de arquivo local autenticado
  • Um XSS refletido autenticado

O primeiro pode permitir que um invasor não autenticado aproveite um servidor MySQL não autorizado para ler arquivos arbitrários de uma instância do OpenEMR, incluindo certificados, senhas, tokens e backups. Os dois últimos podem ser usados ​​para assumir uma instância aberta e vulnerável do OpenEMR. A consultoria da SonarSource oferece detalhes técnicos mais aprofundados sobre cada uma dessas falhas.

A boa notícia é que os mantenedores do OpenEMR corrigiram essas vulnerabilidades em menos de uma semana e lançaram um patch/nova versão do software (v7.0.0). As organizações que usam o OpenEMR são aconselhadas a atualizar para essa versão mais cedo ou mais tarde (se ainda não o fizeram).

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Como a gestão automatizada de chaves fortalece a proteção de dados e dá mais controle às empresas

23/01/2026 Proteção, Solução

A segurança digital entrou em uma nova era de conflito permanente

21/01/2026 Cibersegurança, Proteção

Por que 2026 será o ano em que a cibersegurança voltará a ser operacional

19/01/2026 Cibersegurança

Por que a autenticação multifator precisa nascer junto com a segurança digital

16/01/2026 Solução

Thales apresenta o Imperva AI Application Security

14/01/2026 Prevenção, Solução

As maiores histórias de cibersegurança do ano: o que 2025 nos ensinou

12/01/2026 Cibersegurança
Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL