​№

​Номер уязвимости в банке NIST

​УБИ

​Краткое описание УБИ

(почему именно для МИС характерно)

Вероятность обнаружения (%)

​1

​CVE-2023-28465

​Функция распаковки пакетов в библиотеках HL7 (Health Level 7) FHIR Core до версии 5.6.106

​Позволяет злоумышленникам при работе в МИС копировать произвольные файлы в определённые каталоги с помощью обхода каталогов, если разрешённое имя каталога является подстрокой имени каталога, выбранного злоумышленником

1,2

​2

​CVE-2023-24057

​Основных библиотеки Health Level 7 FHIR до версии 5.6.92

​Позволяют злоумышленникам при работе в МИС извлекать файлы в произвольные каталоги с помощью обхода каталогов из созданного ZIP- или TGZ-архива (для предварительно упакованного кэша терминов, пакета NPM или архива для сравнения)

4,5

​3

​CVE-2024-50589

​API (Application Programming Interface) -интерфейс FHIR

​Злоумышленник, не прошедший аутентификацию, но имеющий доступ к локальной сети медицинского учреждения, может получить доступ к конфиденциальным электронным медицинским картам при работе в МИС

5,1

​4

​CVE-2022-39230

​Реализации интерфейса авторизации из интерфейса FHIR Works. Версии 3.1.1 и 3.1.2

​Позволяет раскрыть конфиденциальной информации неавторизованному субъекту при работе в МИС

2,1