Canon Medicals Vitrea View är ett allmänt använt verktyg för att säkert dela medicinska bilder mellan radiologer, läkare och andra vårdgivare i ett patientvårdsteam. Två nyupptäckta sårbarheter (samlade som CVE-2022-37461) kan ge hotaktörer tillgång till mycket mer än röntgenstrålar.
En brist är en oautentiserad reflekterad cross-site scripting (XSS) i ett felmeddelande, enligt en ny rapport från Trustwaves SpiderLabs. Jordan Hedges, hotforskaren bakom fynden, sa att den andra är en separat Reflected XSS i Vitrea Views adminpanel.
"Om de utnyttjas kan dessa sårbarheter användas för att hämta patientinformation, lagrade bilder, eller skannar och ändrar information, beroende på privilegier som användes under sessionen”, skrev Hedges i en Torsdagsanalys. "Känslig information och referenser för olika tjänster integrerade med Vitrea View kunde också nås."
Vitrea View uppfyller internationella Digital Imaging and Communications in Medicine (DICOM) standarder, konstaterar rapporten, och integreras därmed med många andra saker.
"Vitrea View används för att centralisera potentiellt flera källor och lösningar för medicinsk bildbehandling, inklusive röntgenstrålar, MRI, CRT-skanningar, 3D-bilder, etc.", säger Karl Sigler, senior säkerhetsforskningschef på Trustwave SpiderLabs, till Dark Reading.
Han tillade, "Bilderna är också associerade med en patients journaler, så dessa sårbarheter innebär att det potentiellt kan finnas en mängd information som kan exfiltreras (skada en patients konfidentialitet) eller modifieras (byta ut en patients medicinska bilder med en annan, radera journaler , eller eventuellt ändra patientinformation direkt)."
XSS-sårbarheterna för medicinsk bildbehandling skickades till Canon Medial och en patch har släppts. Hedges rekommenderar organisationer som kör verktyget att använda det omedelbart.
