漏洞标题
N/A
漏洞描述信息
Apperta Foundation的OpenEyes 3.5.1功能允许远程攻击者在不拥有预期权限的情况下查看患者敏感信息。尽管OpenEyes返回了一个禁止错误消息,但服务器返回的 patient profile 内容仍然存在。这可以通过拦截代理或查看页面源来读取。服务器返回的敏感信息包括患者 PII 和药物记录或历史。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apperta Foundation OpenEyes 3.5.1 allows remote attackers to view the sensitive information of patients without having the intended level of privilege. Despite OpenEyes returning a Forbidden error message, the contents of a patient's profile are still returned in the server response. This response can be read in an intercepting proxy or by viewing the page source. Sensitive information returned in responses includes patient PII and medication records or history.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apperta Foundation OpenEyes 信息泄露漏洞
漏洞描述信息
Apperta Foundation OpenEyes是Apperta Foundation基金会的一个开源电子病历(ERP)。 Apperta Foundation OpenEyes 3.5.1 存在安全漏洞,该漏洞允许远程攻击者在没有预期权限级别的情况下查看患者的敏感信息。
CVSS信息
N/A
漏洞类别
信息泄露