Vulnérabilités dans OpenClinic
Date de publication :
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Fuite de données sensibles
Ecriture de fichiers arbitraires à des emplacements arbitraires
Exécution de requêtes SQL arbitraires
Exécution de commandes arbitraires
Exécution de code arbitraire
Criticité
Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
OpenClinic GA (aucun numéro de version spécifié)
CVE
CVE-2020-14485
CVE-2020-14484
CVE-2020-14494
CVE-2020-14491
CVE-2020-14493
CVE-2020-14488
CVE-2020-14490
CVE-2020-14495
CVE-2020-14487
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour OpenClinic GA vers la dernière version disponible. La correction des vulnérabilités mentionnées n’est cependant pas confirmée. Il est ainsi recommandé par us-cert.gov de:
S’assurer de respecter le principe de moindre privilèges vis-à-vis des comptes utilisateur
Limiter l’exposition réseau du logiciel, et considérer une utilisation de VPN si celle-ci se révèle nécessaire
Solution de contournement
CVE-2020-14487 : désactiver le compte utilisateur caché dans les paramètres du logiciel