Machine Spirits Logo
Alle Sicherheitshinweise

Oviva epa4all-rest-service

Unauthentifizierte REST-API für Schreibzugriffe auf Patientenakten

Der REST-Dienst stellt Endpunkte zum Schreiben und Ersetzen von Dokumenten ohne jede Authentifizierung bereit. Jeder Aufrufer, der den Dienst im lokalen Netz erreichen kann, kann mit den auf dem Dienst konfigurierten SMC-B-Credentials der Einrichtung beliebige Dokumente in jede ePA schreiben.

Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.

Verfasst vonChiara Fliegner, Volker Schönefeld, Simon Weber2026-05-19
SchweregradMittelCVSS 6.5CVSS-3.1-VektorAV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:NCWECWE-306 (Missing Authentication for Critical Function)ProduktOviva epa4all-rest-serviceBetroffene VersionenAlle Versionen bis einschließlich 1.2.4 (`ghcr.io/oviva-ag/epa4all-rest-service`)Behoben inKein behobenes Release verfügbar.CVECVE-2026-47672GHSAGHSA-c82x-f4xr-qv33

Beschreibung

Laut der Veröffentlichung von Oviva kann jeder im Netz erreichbare Aufrufer beliebige Dokumente in jede elektronische Patientenakte schreiben, die über die SMC-B-Karte der Einrichtung zugänglich ist. In einer fehlkonfigurierten Bereitstellung — etwa entsprechend dem Produktions-Docker-Beispiel der README — ist dies ohne Credentials aus dem lokalen Netz ausnutzbar.

Auswirkung

  • Ein Angreifer, der den Dienst im lokalen Netz erreichen kann, kann ohne jede Authentifizierung beliebige Dokumente mit den SMC-B-Credentials der Einrichtung in jede ePA schreiben.

Abhilfe

Es ist kein behobenes Release verfügbar. Oviva empfiehlt, eine Authentifizierung zwischen Diensten (zum Beispiel mTLS) über Netzwerkrichtlinien oder einen Proxy zu erzwingen und den Dienst in einem isolierten Netzwerk-Namespace zu betreiben (etwa als Kubernetes-Sidecar oder über ein Service-Mesh mit entsprechenden Richtlinien). Oviva hat in Pull Request #43 einen Dokumentationshinweis zur API-Autorisierung ergänzt.

Referenzen

So können wir helfen

Wer wir sind

Die Sicherheitsforscher hinter diesem Sicherheitshinweis.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
  • gematik Security Hero
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
  • gematik Security Hero
Vollständige Team-Profile ansehen

Penetrationstest gesucht?

Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.

Kontakt aufnehmenMehr über unsere Leistungen erfahren