[Amérique Latine] Une vulnérabilité corrigée dans la solution logicielle Tasy EMR de Philipps

Le chercheur en sécurité Rafael Honorato a découvert une vulnérabilité de niveau modérée impactant la solution logicielle Tasy EMR de Philips.

Philips Tasy EMR est une solution logicielle de santé qui couvre tous les domaines de gestion de l'environnement médical. Le logiciel est déployé aujourd’hui dans près d’un millier d’établissements de santé, principalement localisés en Amérique latine.

L'exploitation réussie de cette vulnérabilité pourrait compromettre la confidentialité et l'intégrité des données patients ou encore permettre l'exécution de code arbitraire.

Details Techniques :

CVE-2019-6562 [CVSS V3 4.1] : Le logiciel ne neutralise pas ou incorrectement les données d'entrées envoyées par l'utilisateur avant leur prise en compte par le serveur. Cette vulnérabilité de type XSS pourrait ainsi permettre à des attaquants de provoquer l'exécution de requêtes arbitraires impliquant, par exemple, une redirection vers un site malveillant. L’exploitation de cette vulnérabilité ne nécessite pas de compétences techniques approfondies.

Informations
+

Risques

  • Exécution de script à distance (XSS) ;
  • Exécution de code à distance.

Criticité

  • Score CVSS : 4.1

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun exploit n’est publiquement disponible pour le moment.

Composants & versions vulnérables

  • Tasy EMR dans ses versions 3.02.1744 et antérieures.

CVE

  • CVE-2019-6562

Recommandations
+

Mise en place de correctif de sécurité

  • Les trois dernières versions du logiciel corrigent cette vulnérabilité.

Solution de contournement

  • Les utilisateurs doivent suivre les instructions du manuel de configuration du produit et ne pas connecter Tasy EMR à un accès à Internet sans VPN ;
  • Les utilisateurs sont également invités à mettre à jour les trois versions les plus récentes du produit.