医療機関向けデータ管理システムの旧版に深刻な脆弱性

米Vanderbilt大学が開発し、新型コロナウイルスの調査をはじめ、医療機関の臨床研究などで活用されているデータ管理システム「REDCap」の旧版に深刻な脆弱性が含まれていることがわかった。

「同10.3.4」に含まれる「SQLインジェクション」の脆弱性「CVE-2020-26712」について、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による評価が公表されたもの。

同脆弱性は、2020年10月にリリースされた「同10.3.5」で、マイナーなセキュリティ修正として対処されたとあるが、「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」とレーティングした。

「同10.3.5」リリース後、同脆弱性の実証コード（PoC）も公開されており、データベースへアクセス可能なユーザーによって不正に操作され、データの流出や破壊につながるおそれがあると指摘されている。また「同10.0.20」についても同脆弱性が存在するという。

同脆弱性は「同10.3.5」以降で修正済みで、2020年12月30日に「同10.6.3」がリリースされている。

（Security NEXT - 2021/01/19 ） ツイート

PR

関連記事

ASPに対する不正アクセスの調査結果を公表 - トレードワークス
「Chrome 91.0.4472.101」が公開 - ゼロデイ脆弱性に対応
新型コロナ関連の「就業制限」や「消毒」通知書を誤送付
「ウイルスバスター for Home Network」に3件の脆弱性
日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前
クラウド型のウェブ閲覧環境分離サービス - 高リスクサイトだけの利用も
一部データが暗号化、個人情報流出の痕跡は見つからず - 日産証券
オンライン会議の招待準備で傍聴希望者のメアドが流出 - 消費者庁
11製品にセキュリティアップデート、深刻な脆弱性も - Adobe
JA高崎ハムの通信販売サイトに不正アクセス - クレカ情報流出の可能性