漏洞详情
CNVD编号 | CNVD-2017-04379 |
---|---|
漏洞标题 | 门诊大厅APP存在信息泄露漏洞 |
严重等级 | 中 |
影响产品 | 医指通移动医疗科技(北京)有限公司 门诊大厅APP |
漏洞类型 | 通用软硬件漏洞 |
发现时间 | 2017-04-04 |
公开时间 | 2017-05-19 |
发现者 | 雷电 |
解决方案 | 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.eztcn.com.cn |
漏洞描述 | 门诊大厅APP是一款帮助用户实现诊前免费咨询、分诊导诊、预约挂号等多项服务的移动互联网医疗就医平台。 门诊大厅APP存在信息泄露漏洞。由于该APP使用7位数字组成的userid作为用户身份标识,在使用“我的预约”功能进行医院挂号的预约查询时,未对用户身份进行合法性校验,允许攻击者仅需要修改userid即可获取其他用户医院挂号预约敏感信息,包括(患者姓名、身份证号、手机号码、科室名称、预约医生姓名、就诊时间等)。 |
返回漏洞库首页