正文

门诊大厅APP存在信息泄露漏洞(CNVD-2017-04379)

admin
admin V管理员 /0 评论 /26 阅读
0417
此篇文章发布距今已超过1163天,您需要注意文章的内容或图片是否可用!

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2017-05-19
漏洞描述
门诊大厅APP是一款帮助用户实现诊前免费咨询、分诊导诊、预约挂号等多项服务的移动互联网医疗就医平台。 门诊大厅APP存在信息泄露漏洞。由于该APP使用7位数字组成的userid作为用户身份标识,在使用“我的预约”功能进行医院挂号的预约查询时,未对用户身份进行合法性校验,允许攻击者仅需要修改userid即可获取其他用户医院挂号预约敏感信息,包括(患者姓名、身份证号、手机号码、科室名称、预约医生姓名、就诊时间等)。
解决建议
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:
http://www.eztcn.com.cn
参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2017-04379
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A CWE-ID 漏洞类型