• Casos de éxito
  • Solicita presupuesto
  • Trabaja con nosotros
  • Advisories
  • Español
    • English (Inglés)
Sofistic Cybersecurity
  • Atlantis SOC
  • Webinars
  • Servicios
  • Productos
  • Formación
  • Blog
Seleccionar página
  • Grupo 1
    • FAMA: Facility Management
      • FAMA AFM: Gestión integral de activos e infraestructuras
      • FAMA CAE: Coordinación de Actividades Empresariales
      • FAMA SOS: Gestión de la Sostenibilidad
    • CheckingPlan: Facility Services
      • Planificación y tareas
      • Checklist y formularios
      • Registro horario
    • Software a medida
      • Aplicaciones de movilidad
      • Experiencia de cliente
      • Procesos y actividades empresariales
  • Grupo 2
    • Aplicaciones de gestión empresarial
      • Microsoft Business Central ERP
      • Ekadis: ERP Distribución
      • Ekatex: ERP Textil
      • Zoho CRM
      • Invoice System
      • Matrix Document Solutions
      • Escena Online: Ticketing
  • Grupo 3
    • Sofistic: Ciberseguridad e identidad
      • Security Operations Center
      • Pentest: Auditoría de seguridad
      • Servicios de seguridad gestionados (MSSP): Darktrace, Crowdstrike, Exabeam
      • Microsoft Security
      • UareSAFE: Mobile Threat Defense + VPN
      • USign: Firma digital
  • Grupo 4
    • Be Cuatroochenter
      • Programa de Partners 480
      • Insights
      • Cátedra IA
      • Podcast
      • Inversores
      • 480Academy
      • Área de prensa
      • Agenda
      • Trabaja en Cuatroochenta
      • Centro de Alto Rendimiento Learnby-do

Avisos de seguridad

Vulnerabilidades descubiertas por el equipo de Sofistic

OpenEMR – Fallo de Validación en el Formulario de Subida de Documentos (CVE-2022-4504)

por Manuel Ginés |

El nombre de cualquier documento subido puede ser manipulado, utilizando el parámetro «destination», para incluir caracteres de nueva línea en su nombre. Esta situación puede ser utilizada para interrumpir la ejecución de código JS en la sección «Documentos» y dejarlo inutilizable hasta que el registro malicioso sea eliminado de la BD.

OpenEMR – Cross-Site Scripting Reflejado en Módulo de Gestión de Pagos (CVE-2022-4503)

por Manuel Ginés |

El script que gestiona el pago con tarjeta de crédito no validaba y codificaba correctamente los parámetros «cardHolderName» y «zip«, lo que permitía a los usuarios incluir código HTML sin analizar en la respuesta del servidor.

OpenEMR – Error de Validación en la Subida de Ficheros (CVE-2022-4506)

por Manuel Ginés |

La funcionalidad de subida de ficheros no validaba correctamente el atributo content-type del archivo, permitiendo a cualquier usuario autenticado saltarse esta comprobación de seguridad añadiendo una firma válida (p.e. GIF89) y enviando cualquier tipo de content-type no válido. Esto podría ser utilizado por un atacante autenticado para subir archivos potencialmente maliciosos al dominio afectado.

OpenEMR – Fallo en los Controles de Acceso a los Documentos de Pacientes (CVE-2022-4567)

por Manuel Ginés |

Un usuario autenticado sin permisos de acceso a la sección «Documentos» podría acceder directamente a cualquier documento del sistema manipulando los parámetros patient_id y document_id en la propia url. Además, al tener un identificador autoincremental, era vulnerable a ataques de fuerza bruta en ambos parámetros, disminuyendo la dificultad de encontrar documentos válidos. La segunda instancia permitía a los usuarios sin privilegios subir archivos a cualquier repositorio de otros usuarios.

OpenEMR – Múltiples Instancias de Cross-Site Scripting Reflejados en el Módulo de Mensajes (CVE-2022-4502)

por Manuel Ginés |

El módulo de mensajes estaba afectado por dos instancias de Cross-Site Scripting (XSS). La primera involucraba al parámetro «stage» al usar la funcionalidad «setup«. El otro fallo se encontraba en el parámetro «parameter» enviado mediante POST al guardar mensajes,. El payload se reflejaba en la respuesta que era de tipo HTML.

ISO 27001 Sofistic
Certificación ENS Sofistic

Sofistic es una compañía que ofrece soluciones diseñadas para los distintos grados de madurez de cualquier entidad. Cuenta con una amplia experiencia obtenida en minimizar el riesgo, maximizar la protección y la respuesta, sin menguar la eficacia del negocio. 

Fundada en 2009, cuenta con oficinas en 6 países en 2 continentes, posicionada fuertemente tras trabajar con más de 50 bancos y sectores críticos como gobiernos, empresas de telecomunicaciones o infraestructuras críticas.

Tanto los empleados como la compañía, cuentan con un amplio número certificaciones de seguridad entre las que destacan ENS o ISO27001.

Aviso legal

Sofistic España
Universitat Jaume I, Edificio Espaitec 2 (planta 4)
Avda. Sos Baynat s/n
12071 Castellón


Sofistic Colombia
Cra. 12A Nº 77A-52
Oficina 505
Bogotá D.C.
+57 350 859 1530


Sofistic Estados Unidos
4804 Page Creek Lane – Research Triangle Park
Durham/Raleigh – NC

Sofistic Panamá
Calle 55 Este, PH SFC Tower, 23A
Panamá City
Tel: +507 395-4570

Sofistic Rep. Dominicana
Avda Winston Churchill, Torre Citi
Planta 8, Piantini
Santo Domingo
Tel: +1 (809) 467-8154

Sofistic Costa Rica
SIGMA Business Center
Calle 49, Alameda
San José
Tel: +506 7020-0273

  • Facebook
  • Twitter

Diseñado por Elegant Themes | Desarrollado por WordPress