製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

drchrono Electronic Health Record (EHR) のウェブアプリケーションに複数の脆弱性

Title	drchrono Electronic Health Record (EHR) のウェブアプリケーションに複数の脆弱性
Summary	drchrono Electronic Health Record (EHR) のウェブアプリケーションには、複数の脆弱性が存在します。 drchrono 社は、電子医療記録 (Electronic Health Record、以下 EHR) 用ウェブアプリケーションを drchrono.com、onpatient.com 等のドメインで提供しています。このウェブアプリケーションには、クロスサイトスクリプティングの脆弱性 (CWE-80) およびクロスサイトリクエストフォージェリの脆弱性 (CWE-352) が存在します。これらの脆弱性には、以下のいずれかが条件になります。　１．第三者が認証済みユーザになり（あるいはなりすまし）、細工されたコンテンツ　　　をアップロードもしくは送信する　２．第三者がアップロードしたコンテンツ、もしくは用意したウェブページに、認証　　　済みユーザ（現実的には臨床医）を誘導しアクセスさせる CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) http://cwe.mitre.org/data/definitions/80.html CWE-352: Cross-Site Request Forgery (CSRF) http://cwe.mitre.org/data/definitions/352.html
Possible impacts	ユーザが、ウェブアプリケーションにアップロードされている、あるいは攻撃者のサイト上に用意されている細工されたウェブページにアクセスすることで、患者のカルテ情報や個人を特定する情報を取得される可能性があります。
Solution	本脆弱性は、2014年10月6日の時点で修正されています。
Publication Date	Oct. 29, 2014, midnight
Registration Date	Oct. 31, 2014, 3:57 p.m.
Last Update	Oct. 31, 2014, 3:57 p.m.

CVSS2.0 : 警告
Score	5.1
Vector	AV:N/AC:H/Au:N/C:P/I:P/A:P

Affected System

drchrono Inc.

drchrono Electronic Health Record

ベンダー情報

No	Name	URL
drchrono Inc.
1	EHR & EMR for the iPad - Electronic Health Record Apps	https://www.drchrono.com/

その他

No	Name	URL
JVN
1	JVNVU#97177029	http://jvn.jp/vu/JVNVU97177029/index.html
US-CERT Vulnerability Note
2	VU#973460	http://www.kb.cert.org/vuls/id/973460

Change Log

No	Changed Details	Date of change
0	[2014年10月31日] 掲載	Feb. 17, 2018, 10:37 a.m.