漏洞详情

CNVD编号 CNVD-2017-04379
漏洞标题 门诊大厅APP存在信息泄露漏洞
严重等级
影响产品 医指通移动医疗科技(北京)有限公司 门诊大厅APP
漏洞类型 通用软硬件漏洞
发现时间 2017-04-04
公开时间 2017-05-19
发现者 雷电
解决方案 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.eztcn.com.cn
漏洞描述 门诊大厅APP是一款帮助用户实现诊前免费咨询、分诊导诊、预约挂号等多项服务的移动互联网医疗就医平台。 门诊大厅APP存在信息泄露漏洞。由于该APP使用7位数字组成的userid作为用户身份标识,在使用“我的预约”功能进行医院挂号的预约查询时,未对用户身份进行合法性校验,允许攻击者仅需要修改userid即可获取其他用户医院挂号预约敏感信息,包括(患者姓名、身份证号、手机号码、科室名称、预约医生姓名、就诊时间等)。

返回漏洞库首页
Image Additional Image