Vulnérabilités dans OpenClinic

Risques

• Fuite de données sensibles
• Ecriture de fichiers arbitraires à des emplacements arbitraires
• Exécution de requêtes SQL arbitraires
• Exécution de commandes arbitraires
• Exécution de code arbitraire

Criticité

• Score CVSS v3 : 9.8 maximum

Existence d’un code d’exploitation

• Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

• OpenClinic GA (aucun numéro de version spécifié)

CVE

• CVE-2020-14485
• CVE-2020-14484
• CVE-2020-14494
• CVE-2020-14491
• CVE-2020-14493
• CVE-2020-14488
• CVE-2020-14490
• CVE-2020-14495
• CVE-2020-14487

Mise en place de correctifs de sécurité

• Mettre à jour OpenClinic GA vers la dernière version disponible. La correction des vulnérabilités mentionnées n’est cependant pas confirmée. Il est ainsi recommandé par us-cert.gov de:

  • S’assurer de respecter le principe de moindre privilèges vis-à-vis des comptes utilisateur

  • Limiter l’exposition réseau du logiciel, et considérer une utilisation de VPN si celle-ci se révèle nécessaire

Solution de contournement

• CVE-2020-14487 : désactiver le compte utilisateur caché dans les paramètres du logiciel