KiviCare – Clinic & Patient Management System (EHR) <= 3.6.4 - Authenticated (Doctor/Receptionist+) SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin KiviCare para la gestión clínica y de pacientes, afectando a las versiones hasta la 3.6.4. Esta vulnerabilidad puede ser explotada por usuarios autenticados con roles de Doctor o Recepcionista.

Contexto técnico

La vulnerabilidad se encuentra en la forma en que el plugin KiviCare maneja las entradas de los usuarios, permitiendo la inyección de código SQL. Esto puede comprometer la base de datos del sistema, facilitando el acceso no autorizado a información sensible.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 6.5. Un atacante podría acceder a datos confidenciales, lo que podría resultar en violaciones de la privacidad de los pacientes y repercusiones legales para las clínicas afectadas.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la manipulación de parámetros en las solicitudes realizadas por usuarios autenticados, como doctores o recepcionistas, que tienen acceso a las funciones vulnerables del plugin.

Mitigación recomendada

Se recomienda actualizar el plugin KiviCare a la versión 3.6.5 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales para proteger el acceso a la base de datos.

Señales de detección

Señales de posible explotación incluyen actividades inusuales en las consultas SQL, errores de base de datos inesperados y accesos no autorizados a información sensible en el sistema.

Alcance afectado

Las versiones del plugin KiviCare hasta la 3.6.4 están afectadas. Se recomienda a todos los usuarios de este plugin verificar su versión y proceder a la actualización.