Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CGM CLININET i koordynował proces ujawniania informacji.

Podatność CVE-2025-2313: W usłudze Print.pl w funkcji uhcPrintServerPrint możliwe jest przekazanie do wykonania dowolnego kodu za pomocą parametru CopyCounter.

Podatność CVE-2025-30036: Podatność typu Stored XSS występuje w module Oddział w polu opisu diagnozy zgonu i pozwala na wykonanie dowolnego kodu JS oraz na przejęcie sesji innego użytkownika i tym samym potencjalną eskalację uprawnień do pełnych uprawnień administracyjnych.

Podatność CVE-2025-30037: W systemie występuje wiele ścieżek, zwykle zawierających element /int/, które powinny być dostępne tylko dla wewnętrznych usług, a są wystawione publicznie i bez uwierzytelnienia dla wszystkich komputerów mających możliwość komunikacji z serwerem aplikacyjnym na 443/tcp.

Podatność CVE-2025-30038: Podatność polega na wycieku ID sesji przy zapisie pliku pobieranego z CGM CLININET. Identyfikator wycieka przez wbudowany mechanizm bezpieczeństwa w Windows, który zapisuje dodatkowe metadane w tzw. NTFS alternate data stream (ADS) dla wszystkich plików pobieranych z potencjalnie niezaufanych źródeł.

Podatność CVE-2025-30039: Nieuwierzytelniony dostęp do endpointa /cgi-bin/CliniNET.prd/GetActiveSessions.pl umożliwia przejęcie sesji dowolnego użytkownika zalogowanego do systemu, w tym użytkownika z uprawnieniami administratora.

Podatność CVE-2025-30040: Po wykonaniu zapytania GET /cgi-bin/CliniNET.prd/utils/userlogxls.pl, bez uwierzytelnienia zwracany jest plik zawierający dane z ID sesji.

Podatność CVE-2025-30041: Ścieżki: /cgi-bin/CliniNET.prd/utils/userlogstat.pl, /cgi-bin/CliniNET.prd/utils/usrlogstat.pl, /cgi-bin/CliniNET.prd/utils/dblogstat.pl udostępniają dane zawierające ID sesji.

Podatność CVE-2025-30048: Endpoint serverConfig zwracający konfigurację modułu, w tym poświadczenia, jest dostępny bez uwierzytelnienia.

Podatność CVE-2025-30055: Funkcja system przyjmuje jako argument niezaufane dane od użytkownika. W przypadku włączonej opcji EnableJSCaching możliwe jest wykonanie dowolnego kodu przekazanego jako parametr Module.

Podatność CVE-2025-30056: Funkcja RunCommand przyjmuje dowolny parametr, który jest przekazywany do wykonania w shell. Atakujący może w ten sposób doprowadzić do wykonania dowolnego kodu przez system.

Podatność CVE-2025-30057: W UHCRTFDoc przez parametr filename występuje możliwość wykonania dowolnego kodu poprzez wstrzyknięcia poleceń do system() w funkcji ConvertToPDF.

Podatność CVE-2025-30058: W usłudze PatientService.pl, w funkcji getPatientIdentifier istnieje możliwość wstrzyknięcia polecenia SQL poprzez parametr pesel.

Podatność CVE-2025-30059: W usłudze PrepareCDExportJSON.pl, w funkcji getPerfServiceIds istnieje możliwość wstrzyknięcia polecenia SQL.

Podatność CVE-2025-30060: W usłudze ReturnUserUnitsXML.pl, w funkcji getUserInfo istnieje możliwość wstrzyknięcia polecenia SQL poprzez parametr UserID.

Podatność CVE-2025-30061: W usłudze utils/Reporter/OpenReportWindow.pl istnieje możliwość wstrzyknięcia polecenia SQL poprzez parametr UserID.

Podatność CVE-2025-30063: Plik konfiguracyjny zawierający loginy i hasła do bazy danych jest możliwy do odczytania przez dowolnego lokalnego użytkownika.

Podatność CVE-2025-30064: Niedostatecznie zabezpieczona wewnętrzna funkcjonalność pozwalająca na generowanie sesji dla dowolnych użytkowników. Funkcja decodeParam sprawdza JWT, ale nie weryfikuje, jaki algorytm został użyty do podpisu. Atakujący może w ten sposób za pomocą parametru ex:action w funkcji VerifyUserByThrustedService wygenerować sesję dla dowolnego użytkownika.

Podziękowania

Za zgłoszenie podatności dziękujemy Maciejowi Kazulakowi.