Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療機関向けデータ管理システムの旧版に深刻な脆弱性

米Vanderbilt大学が開発し、新型コロナウイルスの調査をはじめ、医療機関の臨床研究などで活用されているデータ管理システム「REDCap」の旧版に深刻な脆弱性が含まれていることがわかった。

「同10.3.4」に含まれる「SQLインジェクション」の脆弱性「CVE-2020-26712」について、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による評価が公表されたもの。

同脆弱性は、2020年10月にリリースされた「同10.3.5」で、マイナーなセキュリティ修正として対処されたとあるが、「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」とレーティングした。

「同10.3.5」リリース後、同脆弱性の実証コード(PoC)も公開されており、データベースへアクセス可能なユーザーによって不正に操作され、データの流出や破壊につながるおそれがあると指摘されている。また「同10.0.20」についても同脆弱性が存在するという。

同脆弱性は「同10.3.5」以降で修正済みで、2020年12月30日に「同10.6.3」がリリースされている。

(Security NEXT - 2021/01/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

パーソナルデータ、4割弱が利用目的に関わらず「提供したくない」
イー・ガーディアンと日本サイバーディフェンスが業務提携
機密文書の廃棄サービス、テレワーク環境にも対応 - ヤマト運輸
2021年の上場関連企業の個人情報事故は137件 - TSRまとめ
保育士のキャリアアップ研修事業でメール誤送信 - 埼玉県
元従業員の売却HDD内に業務文書、データ複製の連鎖で - ラック
処方箋薬宅配サービスでメール誤送信 - 会員メアドが流出
旧サーバが改ざん、偽通販サイトを設置される - 江東区健康スポーツ公社
障害福祉関連の個人情報をサイトで誤公開 - 越前市
「Switch」が大幅割引とだます任天堂の偽サイトに注意