Vulnérabilités dans OpenClinic
Date de publication :
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Fuite de données sensibles
- Ecriture de fichiers arbitraires à des emplacements arbitraires
- Exécution de requêtes SQL arbitraires
- Exécution de commandes arbitraires
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- OpenClinic GA (aucun numéro de version spécifié)
CVE
- CVE-2020-14485
- CVE-2020-14484
- CVE-2020-14494
- CVE-2020-14491
- CVE-2020-14493
- CVE-2020-14488
- CVE-2020-14490
- CVE-2020-14495
- CVE-2020-14487
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour OpenClinic GA vers la dernière version disponible. La correction des vulnérabilités mentionnées n’est cependant pas confirmée. Il est ainsi recommandé par us-cert.gov de:
S’assurer de respecter le principe de moindre privilèges vis-à-vis des comptes utilisateur
Limiter l’exposition réseau du logiciel, et considérer une utilisation de VPN si celle-ci se révèle nécessaire
Solution de contournement
CVE-2020-14487 : désactiver le compte utilisateur caché dans les paramètres du logiciel