Los investigadores informaron recientemente sobre varias vulnerabilidades en el software de la herramienta Canon Medical Vitrea View. La explotación de las fallas podría exponer la información del paciente y otros servicios relacionados al atacante. Canon Medical solucionó los problemas después de los informes de errores, lo que obligó a los usuarios a actualizar sus sistemas para recibir las correcciones.
Según los informes, los investigadores de Trustwave Spiderlabs descubrieron dos vulnerabilidades diferentes en el software Canon Medical Vitrea View.
Como se explica en su informe, las fallas existían en el software de terceros que impulsa la herramienta Canon Medical que facilita la visualización de imágenes médicas. La explotación de las fallas podría permitir que un adversario acceda a los datos del paciente y otros servicios de Vitrea View.
Específicamente, el primer problema fue una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en el mensaje de error. La falla apareció cuando la página de error en /vitrea-view/error/ reflejaba todas las entradas después del subdirectorio /error/ para el usuario. Aunque tiene algunas restricciones menores, un usuario geek puede omitirlas a través de comillas graves (`) y codificación base64, e importar códigos remotos.
La siguiente vulnerabilidad también se identificó como XSS duplicado, sin embargo, existía en el panel de administración de Vitrea View. Al describir esta vulnerabilidad, los investigadores dijeron:
«La búsqueda de ‘groupID’, ‘offset’ y ‘limit’ en la página ‘Grupo y usuarios’ del panel de administración refleja su entrada al usuario cuando se ingresa texto en lugar de las entradas numéricas esperadas. Como el descubrimiento anterior, reflejado la entrada está ligeramente restringida, ya que no permite espacios.
La explotación de la vulnerabilidad requería que un atacante engañara al usuario objetivo para que otorgara acceso al panel de administración a través de la ingeniería social. Un adversario podría hacer esto fácilmente al enviar un enlace malintencionado al usuario víctima. Luego, hacer clic en el enlace le daría al atacante el control del administrador.
Al explotar las fallas, un atacante podría ver y acceder a los detalles del paciente, incluidas imágenes y escaneos. Asimismo, el adversario podría acceder a las credenciales de servicios sensibles e incluso modificar la información en función de los privilegios obtenidos.
Luego de este descubrimiento, los investigadores de Trustwave informaron de manera responsable las vulnerabilidades a los funcionarios de Canon Medical. En respuesta, los proveedores parcheados implementaron la versión 7.7.6 del software parcheado en sus dispositivos.
Ahora, los investigadores están instando a los usuarios a actualizar sus sistemas a la última versión de software para recibir los parches.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…