drchrono Electronic Health Record (EHR) のウェブアプリケーションには、複数の脆弱性が存在します。 drchrono 社は、電子医療記録 (Electronic Health Record、以下 EHR) 用ウェブアプリケーションを drchrono.com、onpatient.com 等のドメインで提供しています。このウェブアプリケーションには、クロスサイトスクリプティングの脆弱性 (CWE-80) および クロスサイトリクエストフォージェリの脆弱性 (CWE-352) が存在します。 これらの脆弱性には、以下のいずれかが条件になります。 1.第三者が認証済みユーザになり(あるいはなりすまし)、細工されたコンテンツ をアップロードもしくは送信する 2.第三者がアップロードしたコンテンツ、もしくは用意したウェブページに、認証 済みユーザ(現実的には臨床医)を誘導しアクセスさせる CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) http://cwe.mitre.org/data/definitions/80.html CWE-352: Cross-Site Request Forgery (CSRF) http://cwe.mitre.org/data/definitions/352.html
|