Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療機関向けデータ管理システムの旧版に深刻な脆弱性

米Vanderbilt大学が開発し、新型コロナウイルスの調査をはじめ、医療機関の臨床研究などで活用されているデータ管理システム「REDCap」の旧版に深刻な脆弱性が含まれていることがわかった。

「同10.3.4」に含まれる「SQLインジェクション」の脆弱性「CVE-2020-26712」について、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による評価が公表されたもの。

同脆弱性は、2020年10月にリリースされた「同10.3.5」で、マイナーなセキュリティ修正として対処されたとあるが、「NVD」では、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「9.8」とレーティングした。

「同10.3.5」リリース後、同脆弱性の実証コード(PoC)も公開されており、データベースへアクセス可能なユーザーによって不正に操作され、データの流出や破壊につながるおそれがあると指摘されている。また「同10.0.20」についても同脆弱性が存在するという。

同脆弱性は「同10.3.5」以降で修正済みで、2020年12月30日に「同10.6.3」がリリースされている。

(Security NEXT - 2021/01/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

日東製網、四半期決算を延期 - ランサムウェア被害の影響で
2024年春季の登録セキスペ応募者、前年から13.3%増
「GarageBand」にセキュリティアップデート - 脆弱性1件を修正
米子会社にサイバー攻撃、情報流出の可能性 - パイロット
メンテナンス中に本人確認資料画像データを誤消去 - 琉球銀
読売新聞装うメールに注意 - 著作権侵害と脅す内容
サーバや端末にサイバー攻撃、放送への影響は否定 - テレビ新潟
「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
効率的な脆弱性対策を支援するオンラインセミナー開催 - IPA
Android 14の変更点をカバー - セキュアコーディングガイド新版