Stryker Vocera 報告伺服器和語音伺服器弱點

28-Apr-2023

已經發現安全性弱點，影響 Vocera 語音伺服器 (Voice Server, VS) 和 Vocera 報告伺服器 (Vocera Report Server, VRS) 網站控制台。受影響的產品版本包含弱點，可能允許攻擊者上傳任意檔案 (arbitrary files) 至伺服器以及可能以特權使用者身分 (privileged user) 執行未經驗證的任務。攻擊者可能需要網路存取 Vocera 伺服器的管理控制台或報告控制台來不正當利用這些弱點。這些弱點在下列 CVE 中說明：

CVE-2022-46898 任意檔案上傳
CVE-2022-46899 在任務作業系統檔案名稱 (Task Exec Filename) 的路徑遍歷 (Path Traversal)
CVE-2022-46900 對資料庫操作的存取控制侵犯
CVE-2022-46901 在恢復 SQL 資料檔案名稱的路徑遍歷
CVE-2022-46902 對解壓縮 (Unzip) 操作的路徑遍歷

受影響產品： Vocera 平台 5.x
受影響組成部分：

Vocera 報告伺服器 - 版本 5.8.0.135 及更早版本
Vocera 語音伺服器 - 版本 5.8.0.135 及更早版本

這些弱點直到版本 5.8.0.140 已經修理，可以升級至最新軟體版本來解決這些弱點。這些弱點和相關軟體更新已經直接通知受影響產品的客戶。到目前沒有報告與這些弱點相關的意外事件或違反。更多資訊請點選此處聯絡 Vocera 支援。

更多資訊：
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902