Stryker Vocera Report Server- und Voice Server-Schwachstellen
28-Apr-2023
Es wurden Sicherheitslücken festgestellt, die sich auf die Webkonsolen Vocera Voice Server (VS) und Vocera Report Server (VRS) auswirken. Betroffene Produktversionen enthalten Schwachstellen, die es einem Angreifer ermöglichen könnten, beliebige Dateien auf den Server hochzuladen und möglicherweise nicht authentifizierte Aufgaben als privilegierter Benutzer auszuführen. Um diese Schwachstellen auszunutzen, benötigt ein Angreifer Netzwerkzugriff auf die Admin-Konsole oder Berichtskonsole der Vocera-Server. Die Schwachstellen werden in den folgenden CVEs beschrieben:
CVE-2022-46898 Beliebiger Datei-Upload
CVE-2022-46899 Pfaddurchquerung im Task Exec-Dateinamen
CVE-2022-46900 Verletzung der Zugriffskontrolle bei Datenbankvorgängen
CVE-2022-46901 Pfaddurchquerung im Wiederherstellungs-SQL-Datendateinamen
CVE-2022-46902 Pfaddurchquerung beim Entpacken-Vorgang
Betroffene Produkte: Vocera-Plattform 5.x
Betroffene Komponenten:
- Vocera Report Server – Versionen 5.8.0.135 und früher
- Vocera Voice Server – Versionen 5.8.0.135 und früher
Diese Schwachstellen sind ab Version 5.8.0.140 behoben und können durch ein Upgrade auf die neueste Softwareversion behoben werden. Kunden der betroffenen Produkte wurden direkt über diese Schwachstellen und das damit verbundene Software-Update informiert. Bisher wurden im Zusammenhang mit diesen Schwachstellen keine Vorfälle oder Verstöße gemeldet. Für weitere Informationen Klicken Sie hier, um den Vocera-Support zu kontaktieren.
Weitere Informationen:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558