Vulnerabilidades del servidor de informes y del servidor de voz de Stryker Vocera

28-Apr-2023

Se han identificado vulnerabilidades de seguridad que afectan a las consolas web Vocera Voice Server (VS) y Vocera Report Server (VRS). Las versiones de productos afectados contienen vulnerabilidades que podrían permitir que un atacante cargue archivos arbitrarios en el servidor y potencialmente ejecute tareas no autenticadas como un usuario privilegiado. Un atacante requeriría acceso a la red a la consola de administración o a la consola de informes de los servidores de Vocera para aprovechar estas vulnerabilidades. Las vulnerabilidades se describen en los siguientes CVE:

CVE-2022-46898 Carga de archivos arbitrarios
CVE-2022-46899 Salto de directorio en el nombre de archivo de Task Exec
CVE-2022-46900 Infracción de control de acceso en operaciones de base de datos
CVE-2022-46901 Salto de directorio en la restauración del nombre del archivo de datos SQL
CVE-2022-46902 Salto de directorio en la operación Descomprimir

Productos afectados: Plataforma Vocera 5.x
Componentes afectados:

  • Servidor de informes de Vocera - Versiones 5.8.0.135 y anteriores
  • Vocera Voice Server - Versiones 5.8.0.135 y anteriores

Estas vulnerabilidades se corrigen a partir de la versión 5.8.0.140 y se pueden resolver actualizando a la última versión del software. Los clientes de los productos afectados han recibido notificaciones directamente sobre estas vulnerabilidades y la actualización de software relacionada. Hasta la fecha, no se ha notificado ningún incidente o incumplimiento relacionado con estas vulnerabilidades. Si desea obtener más información, haga clic aquí para ponerse en contacto con el soporte de Vocera.

Para obtener más información:
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902