医療機関向けデータ管理システムの旧版に深刻な脆弱性

米Vanderbilt大学が開発し、新型コロナウイルスの調査をはじめ、医療機関の臨床研究などで活用されているデータ管理システム「REDCap」の旧版に深刻な脆弱性が含まれていることがわかった。

「同10.3.4」に含まれる「SQLインジェクション」の脆弱性「CVE-2020-26712」について、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による評価が公表されたもの。

同脆弱性は、2020年10月にリリースされた「同10.3.5」で、マイナーなセキュリティ修正として対処されたとあるが、「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」とレーティングした。

「同10.3.5」リリース後、同脆弱性の実証コード（PoC）も公開されており、データベースへアクセス可能なユーザーによって不正に操作され、データの流出や破壊につながるおそれがあると指摘されている。また「同10.0.20」についても同脆弱性が存在するという。

同脆弱性は「同10.3.5」以降で修正済みで、2020年12月30日に「同10.6.3」がリリースされている。

（Security NEXT - 2021/01/19 ） ツイート

PR

関連記事

「Exchange Server」にゼロデイ攻撃 - アップデートは準備中、緩和策の実施を
問合フォームより入力された顧客情報が閲覧可能に - 休暇のプランニングサービス
電子マネー「BitCash」の利用者狙うフィッシング - 「残高凍結」と不安煽る
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
ネットバンク不正送金被害が8月下旬より急増 - わずか2カ月で上半期上回る勢い
特定条件で他利用者の個人情報が閲覧可能に - トレカ通販サイト
教諭が試験問題を生徒に漏洩 - 金沢市の私立中
OLAP対応データストアの「Apache Pinot」に脆弱性
IPA、ビジネスメール詐欺対策の特設ページを開設 - 啓発チラシなども用意
診療情報を記録したデジカメを紛失 - さいたま市民医療センター