Vulnerabilidad en el sistema de Gestión de Documentos en PostgreSQL en MEDHOST (CVE-2017-11693)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

28/07/2017

Última modificación:

20/04/2025

Descripción

El sistema de gestión de documentos de MEDHOST contiene credenciales codificadas que son usadas para el acceso a la base de datos de los clientes. Un atacante con conocimiento de las credenciales codificadas y la capacidad de comunicarse directamente con la base de datos puede obtener o modificar información financiera y confidencial del paciente. PostgreSQL se utiliza como la base de datos del Sistema de Gestión de Documentos. El nombre de la cuenta es dms. La contraseña está codificada en toda la aplicación y es la misma en todas las instalaciones. Los clientes no tienen la opción de cambiar las contraseñas. La cuenta dms para PostgreSQL tiene acceso al esquema de base de datos para el Sistema de Gestión de Documentos.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno