ECHS: Unauthenticated patient-records API exposes patient PII (CWE-306 / CWE-200) 漏洞概述 在针对 e-Clinic Healthcare System (ECHS) v5.7 的安全评估中,发现了一个严重问题: API 端点无需有效认证即可访问,并返回高度敏感的患者个人信息。 该漏洞主要涉及: CWE-306: 关键功能缺少认证 (Missing Authentication for Critical Function) CWE-200: 向未授权行为者暴露敏感信息 (Exposure of Sensitive Information to an Unauthorized Actor) 影响范围 受影响产品: e-Clinic Healthcare System (ECHS) v5.7 by PicoTronica 受影响组件: 技术细节: - 端点文档化的预期行为要求认证( ),但实际响应包括: - 患者 PII 字段(例如,NIH 风格的个人识别号码、地址、电话、出生日期) - 额外的不安全响应配置信号(例如,服务器指纹识别头) - 一个特别强的指标表明未强制执行认证:端点仍然在 头中提供无效 时重叠。这也与 OWASP API Security Risk 类别(暴露敏感对象属性)重叠,这是一个已知的 API 风险类。 影响: - 机密性: 灾难性(受监管的患者数据暴露) 修复方案 推荐修复: 确保 API 端点需要有效的认证才能访问。 检测与监控: 实施监控以检测未授权的访问尝试。 供应商沟通: 联系 PicoTronica 以获取更新和补丁。 时间线: 记录漏洞发现、报告和修复的时间线。