OpenEMR - это бесплатное приложение для электронных медицинских карт и медицинской практики с открытым исходным кодом. До версии 8.0.0 моду…
OpenEMR - это бесплатное приложение для электронных медицинских карт и медицинской практики с открытым исходным кодом. До версии 8.0.0 модуль формы Eye Exam позволяет перенаправить любого аутентифицированного пользователя на произвольный внешний URL. Это может быть использовано для фишинговых атак против медицинских работников, использующих OpenEMR. Версия 8.0.0 решает проблему.
Веб-приложение принимает управляемые пользователем входные данные, задающие ссылку на внешний сайт, и использует её для перенаправления.
https://cwe.mitre.org/data/definitions/601.html →Открыть в коллекции CWE →Злоумышленник обманом вынуждает жертву выполнить Flash-документ, передающий команды или обращения к плагину Flash-плеера браузера, что позволяет злоумышленнику эксплуатировать встроенную функциональность Flash в браузере клиента. Данный шаблон атаки реализуется в случае, когда злоумышленник может предоставить специально сформированную ссылку на Flash-документ (SWF-файл), при переходе по которой будут выполнены дополнительные вредоносные инструкции. Злоумышленнику не требуется размещать Flash-документ или управлять им. Атака использует тот факт, что Flash-файлы могут ссылаться на внешние URL. Если переменные, служащие URL-адресами, на которые ссылается Flash-приложение, могут управляться через параметры, то, создав ссылку с определёнными значениями этих параметров, злоумышленник может добиться того, чтобы целевое Flash-приложение ссылалось на произвольное содержимое и, возможно, выполняло его.
https://capec.mitre.org/data/definitions/178.html →Открыть в коллекции CAPEC →