Canon Medical 的 Vitrea View 是一种广泛使用的工具,用于在患者护理团队中的放射科医生、医生和其他医疗保健提供者之间安全地共享医学图像。两个新发现的漏洞(统称为 CVE-2022-37461)可能允许威胁行为者访问比 X 射线更多的内容。
一个缺陷是未经身份验证 反射型跨站脚本(XSS)根据 Trustwave 的 SpiderLabs 的一份新报告,错误消息中出现了这样的错误。这些发现背后的威胁研究员 Jordan Hedges 表示,第二个漏洞是 Vitrea View 管理面板中的一个单独的 Reflected XSS。
“如果被利用,这些漏洞可用于检索 患者信息、存储的图像或扫描,以及修改信息,具体取决于会话期间使用的权限,”赫奇斯在一份报告中写道 周四分析。 “与 Vitrea View 集成的各种服务的敏感信息和凭证也可以被访问。”
报告指出,Vitrea View 符合国际医学数字成像和通信 (DICOM) 标准,因此可以与许多其他东西集成。
“Vitrea View 用于集中医疗成像的多个潜在来源和解决方案,包括 X 射线、MRI、CRT 扫描、3D 成像等,”Trustwave SpiderLabs 高级安全研究经理 Karl Sigler 告诉 Dark Reading。
他补充说:“这些图像还与患者的记录相关联,因此这些漏洞意味着可能存在大量信息可能被泄露(损害患者的机密性)或被修改(将患者的医学图像与另一个患者的医学图像交换,删除记录) ,或可能直接修改患者信息)。”
XSS医学成像漏洞已提交给Canon Medial,并已发布补丁。 Hedges 建议运行该工具的组织立即应用它。
