OpenEMR adalah perangkat lunak sumber terbuka paling populer untuk catatan kesehatan elektronik dan manajemen praktik medis. Ini digunakan di seluruh dunia untuk mengelola data pasien yang sensitif, termasuk informasi tentang pengobatan, nilai laboratorium, dan penyakit.
Pasien menggunakan OpenEMR untuk menjadwalkan janji temu, berkomunikasi dengan dokter, dan membayar tagihan online. Secara khusus, di masa-masa sulit dari pandemi yang sedang berlangsung ini, ini adalah data yang sangat sensitif, dan melindunginya menjadi perhatian semua orang.
Selama riset keamanan peneliti terhadap aplikasi web populer, peneliti menemukan beberapa kerentanan kode di OpenEMR. Kombinasi dari kerentanan ini memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sistem sewenang-wenang pada server OpenEMR mana pun dan mencuri data pasien yang sensitif. Dalam kasus terburuk, mereka dapat membahayakan seluruh infrastruktur penting.
Mesin SAST peneliti menemukan dua kerentanan kode yang, bersama-sama, menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi.
OpenEMR tidak selalu dapat menjamin bahwa proses penyiapan akan sepenuhnya menghapus file instalasi. Jika Anda mengembangkan aplikasi dengan alur penyiapan bawaan, Anda harus memutuskan apakah Anda sengaja menyimpannya (dalam kasus OpenEMR) atau mencoba menghapusnya.
Bagaimanapun, Anda harus selalu memeriksa apakah aplikasi sudah diinstal terlebih dahulu. Jika demikian, eksekusi harus dihentikan sesegera mungkin. Selain itu, selalu berusaha membersihkan setiap masukan pengguna dan menerapkan pembersih masing-masing dalam konteks tertentu.
Selengkapnya: Sonar Source
