Наш исследователь обнаружил в open-source системе для медицинских организаций LibreHealth EHR 2.0.0 несколько уязвимостей: одна SQL-инъекция и множественные XSS.
Были присвоены следующие идентификаторы: CVE-2022-29938, CVE-2022-29939, CVE-2022-29940.
Так как разработчики системы переходят на совершенно новую кодовую базу, для них неактуально исправлять эти уязвимости. Поэтому можно сказать, что это зиродеи.
Подробная информация по багам и по временному исправлению:
https://nitroteam.kz/index.php?action=researches&slug=librehealth_r
Ссылки на MITRE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29939
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29940
P.S. В этой системе предположительно еще много уязвимостей, поиском которых сейчас занимаются наши студенты-практиканты.
@nitroteamchannel
Были присвоены следующие идентификаторы: CVE-2022-29938, CVE-2022-29939, CVE-2022-29940.
Так как разработчики системы переходят на совершенно новую кодовую базу, для них неактуально исправлять эти уязвимости. Поэтому можно сказать, что это зиродеи.
Подробная информация по багам и по временному исправлению:
https://nitroteam.kz/index.php?action=researches&slug=librehealth_r
Ссылки на MITRE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29939
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29940
P.S. В этой системе предположительно еще много уязвимостей, поиском которых сейчас занимаются наши студенты-практиканты.
@nitroteamchannel