Machine Spirits Logo
Alle Sicherheitshinweise

Oviva epa4all-client

TLS-Zertifikatsprüfung in Produktion deaktiviert

Der REST-Wrapper um epa4all-client läuft mit deaktivierter TLS-Zertifikatsprüfung. Ein Angreifer auf dem Netzwerkpfad zwischen ePA-Dienst und Konnektor kann ein beliebiges Zertifikat präsentieren — selbstsigniert, abgelaufen oder mit falschem Common Name — und den SOAP-Verkehr im Klartext mitlesen.

Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.

Verfasst vonChiara Fliegner, Volker Schönefeld, Simon Weber2026-05-11
SchweregradHochCVSS 8.1CVSS-3.1-VektorAV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NCWECWE-295 (Improper Certificate Validation)ProduktOviva epa4all-clientBetroffene VersionenAlle Versionen vor 1.2.2Behoben in1.2.2 (enthält Pull Request #36)CVEAusstehendGHSAGHSA-5hhf-xmfx-4vvr

Beschreibung

Laut der Veröffentlichung von Oviva kann ein Angreifer auf dem Netzwerkpfad zwischen ePA-Dienst und Konnektor ein beliebiges TLS-Zertifikat (selbstsigniert, abgelaufen, falscher CN) präsentieren und den gesamten SOAP-Verkehr abfangen. Dazu gehören Versichertenkennungen (KVNR), SMC-B-Kartenoperationen (Authentifizierung und Signatur), Dokumenteninhalte und Credential-Austausch.

Auswirkung

  • Ein Netzwerkangreifer zwischen ePA-Dienst und Konnektor kann den gesamten SOAP-Austausch mitlesen und manipulieren: Versichertenkennungen (KVNR), SMC-B-Authentifizierung und -Signatur, Dokumenteninhalte und Credentials.

Abhilfe

Aktualisieren Sie epa4all-client auf 1.2.2 oder höher. Als Workaround für betroffene Versionen verwenden Sie die Bibliothek direkt anstelle des REST-Wrappers.

Referenzen

So können wir helfen

Wer wir sind

Die Sicherheitsforscher hinter diesem Sicherheitshinweis.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
  • gematik Security Hero
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
  • gematik Security Hero
Vollständige Team-Profile ansehen

Penetrationstest gesucht?

Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.

Kontakt aufnehmenMehr über unsere Leistungen erfahren