医療機関向けデータ管理システムの旧版に深刻な脆弱性

米Vanderbilt大学が開発し、新型コロナウイルスの調査をはじめ、医療機関の臨床研究などで活用されているデータ管理システム「REDCap」の旧版に深刻な脆弱性が含まれていることがわかった。

「同10.3.4」に含まれる「SQLインジェクション」の脆弱性「CVE-2020-26712」について、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による評価が公表されたもの。

同脆弱性は、2020年10月にリリースされた「同10.3.5」で、マイナーなセキュリティ修正として対処されたとあるが、「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」とレーティングした。

「同10.3.5」リリース後、同脆弱性の実証コード（PoC）も公開されており、データベースへアクセス可能なユーザーによって不正に操作され、データの流出や破壊につながるおそれがあると指摘されている。また「同10.0.20」についても同脆弱性が存在するという。

同脆弱性は「同10.3.5」以降で修正済みで、2020年12月30日に「同10.6.3」がリリースされている。

（Security NEXT - 2021/01/19 ） ツイート

PR

関連記事

JSAC 2021の「ベストスピーカー賞」が選出 - 講演動画も公開中
ウイルス届け出、前年比73.4％増 - 「Emotet」など被害も
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
従業員が契約者のポイントを不正利用 - 日本生命
外出自粛期間、子どもの6割がアダルトコンテンツに遭遇
講習受講者情報がネット上で閲覧可能に - 電気工事技術講習センター
健康美容商品の卸売販売サイトに不正アクセス - クレカ情報が流出
「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
顧客情報流出でサクソバンク証券をけん責処分 - 日証協
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も