JVNDB-2014-005156

JVNDB-2014-005156
drchrono Electronic Health Record (EHR) のウェブアプリケーションに複数の脆弱性
概要
drchrono Electronic Health Record (EHR) のウェブアプリケーションには、複数の脆弱性が存在します。 drchrono 社は、電子医療記録 (Electronic Health Record、以下 EHR) 用ウェブアプリケーションを drchrono.com、onpatient.com 等のドメインで提供しています。このウェブアプリケーションには、クロスサイトスクリプティングの脆弱性 (CWE-80) およびクロスサイトリクエストフォージェリの脆弱性 (CWE-352) が存在します。これらの脆弱性には、以下のいずれかが条件になります。　１．第三者が認証済みユーザになり（あるいはなりすまし）、細工されたコンテンツ　　　をアップロードもしくは送信する　２．第三者がアップロードしたコンテンツ、もしくは用意したウェブページに、認証　　　済みユーザ（現実的には臨床医）を誘導しアクセスさせる CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) http://cwe.mitre.org/data/definitions/80.html CWE-352: Cross-Site Request Forgery (CSRF) http://cwe.mitre.org/data/definitions/352.html
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

drchrono Inc. drchrono Electronic Health Record

想定される影響
ユーザが、ウェブアプリケーションにアップロードされている、あるいは攻撃者のサイト上に用意されている細工されたウェブページにアクセスすることで、患者のカルテ情報や個人を特定する情報を取得される可能性があります。
対策
本脆弱性は、2014年10月6日の時点で修正されています。
ベンダ情報
drchrono Inc. drchrono Inc. : EHR & EMR for the iPad - Electronic Health Record Apps
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVNVU#97177029 US-CERT Vulnerability Note : VU#973460
更新履歴
[2014年10月31日] 掲載


公表日	2014/10/29
登録日	2014/10/31
最終更新日	2014/10/31

drchrono Electronic Health Record (EHR) のウェブアプリケーションに複数の脆弱性