據the hacker news網站報道，美國網絡安全和基礎設施安全局 (CISA) 發出警告稱，飛利浦的電子病例系統Tasy EMR存在嚴重漏洞，攻擊者可遠程利用這些漏洞從患者數據庫中提取敏感的個人數據。

[[434331]]

受影響的主要是Tasy EMR HTML5 3.06.1803及之前的版本，其中的兩個SQL注入缺陷——CVE-2021-39375和CVE-2021-39376可讓攻擊者修改SQL數據庫命令，從而進行未經授權的訪問并泄露敏感信息，甚至執行任意的系統命令：

• CVE-2021-39375：允許通過WAdvancedFilter/getDimensionItemsByCode FilterValue 參數進行 SQL 注入
• CVE-2021-39376：允許通過 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 或 CD_USUARIO_CONVENIO 參數進行 SQL 注入

這兩個漏洞的嚴重性評分高達8.8分(滿分10分)，但是，利用這些漏洞需要攻擊者已經擁有訪問系統的憑證。

飛利浦 Tasy EMR主要用于拉美地區的950多家醫療機構，其設計為集成的醫療信息學解決方案，可實現臨床、組織和行政流程的集中管理，包括整合分析、計費以及醫療處方的庫存和供應管理。

飛利浦在一份咨詢報告中指出，目前已經獲取了相關的問題信息，但尚未收到有關利用這些漏洞或相關臨床使用事件的報告，認為漏洞不太可能影響臨床使用，也不會對患者造成傷害。

但為了以防萬一，專家還是建議，所有使用該系統的醫療機構應盡快更新到最新的系統版本。

參考來源：https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html