Vulnérabilités du serveur de rapports et du serveur vocal de Stryker Vocera
28-Apr-2023
Des vulnérabilités relatives à la sécurité ont été identifiées au niveau des consoles Web Vocera Voice Server (VS) et Vocera Report Server (VRS). Les versions de produits concernées contiennent des vulnérabilités qui pourraient permettre à un attaquant de télécharger des fichiers arbitraires sur le serveur et potentiellement d'exécuter des tâches non authentifiées en tant qu'utilisateur privilégié. Pour exploiter ces vulnérabilités, un attaquant doit disposer d'un accès réseau à la console d'administration ou à la console de rapport des serveurs Vocera. Les vulnérabilités sont décrites dans les CVE suivants :
CVE-2022-46898 Téléchargement de fichier arbitraire
CVE-2022-46899 Traversée de chemin dans le nom de fichier de Task Exec
CVE-2022-46900 Violation du contrôle d'accès lors des opérations sur les bases de données
CVE-2022-46901 Traversée de chemin dans la restauration du nom de fichier des données SQL
CVE-2022-46902 Traversée de chemin lors de l'opération de décompression
Produits impactés : Plateforme Vocera 5.x
Composants impactés :
- Vocera Report Server - Versions 5.8.0.135 et antérieures
- Vocera Voice Server - Versions 5.8.0.135 et antérieures
Ces vulnérabilités sont corrigées à partir de la version 5.8.0.140 et peuvent être résolues par une mise à jour vers la dernière version du logiciel. Les clients des produits concernés ont été directement informés de ces vulnérabilités et de la mise à jour logicielle correspondante. À ce jour, aucun incident ou infraction n'a été signalé en rapport avec ces vulnérabilités. Pour plus d'informations cliquez ici pour contacter l'assistance Vocera.
Pour plus d’informations :
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558