Este documento contiene el Release notes del producto iMedicalCloud versión 1.43.0. La siguiente sección describe los casos en detalle y provee información actualizada que complementa la documentación principal del sistema. Este es un Release para evaluación y utilización. Su retroalimentación es muy importante para nosotros, por favor contribuya con nosotros para crear el mejor producto posible. Tenga en cuenta que nosotros estamos trabajando de manera continua en iMedicalCloud, brindándole a su entidad mayor Tecnología y Seguridad.
Novedades del release
-------------------------------------------------------------------------------------------------------
se realiza ajuste de seguridad el cual consiste en restringir la modificación de la cabecera "X-Forwarded-Host" impidiendo de esta manera que algún atacante quiera cambiar o modificar
el redireccionamiento de la navegación en el portal imedicalcloud, con ello garantizamos que los usuarios de la plataforma no sean redirigidos a sitios maliciosos.
Se ha implementado una solución para una vulnerabilidad en el proceso de carga de documentos, que permitía adjuntar o ejecutar scripts maliciosos. Estos scripts podían afectar el funcionamiento del sistema o capturar información sensible.
Para resolver este problema, se han aplicado medidas de seguridad que aseguran que solo se puedan subir archivos admitidos por imedical para el caso:
Se realiza actualización de seguridad en el proceso de recuperación de contraseña donde se involucra el almacenamiento de token en archivos planos en base de datos, para ello se modificó el sistema para que los tokens de recuperación de contraseña se encripten antes de ser almacenados en la base de datos. Esto asegura que incluso si un atacante obtiene acceso a la base de datos, no podrá utilizar estos tokens sin descifrarlos, lo cual garantiza que el sistema cumpla con los estándares de seguridad, protegiendo tanto a los usuarios como a la organización de posibles vulnerabilidades.
Se ha reforzado la seguridad en la carga de archivos donde se pretende evitar todo archivo malicioso, esto se logra mediante un proceso de escaneo que analiza los archivos subidos en busca de caracteres o secuencias sospechosas que podrían haber pasado desapercibidas en validaciones anteriores. Si se detectan caracteres peligrosos, se bloquea la carga del archivo, impidiendo su ejecución y protegiendo a los usuarios de posibles amenazas, de igual manera se ha añadido una validación exhaustiva de los caracteres contenidos en scripts inyectados en el portal donde se revisa cada script para asegurarse de que no contenga secuencias maliciosas que puedan comprometer la seguridad del sistema. Al identificar y eliminar estos scripts, se evita que puedan ejecutarse, protegiendo así a los usuarios de ataques como el Cross-Site Scripting (XSS).