Kwetsbaarheden van Stryker Vocera Report Server en Voice Server
28-Apr-2023
Er zijn beveiligingsproblemen geïdentificeerd die van invloed zijn op de webconsoles van Vocera Voice Server (VS) en Vocera Report Server (VRS). De getroffen productversies bevatten kwetsbaarheden waardoor een aanvaller willekeurige bestanden naar de server kan uploaden en mogelijk niet-geverifieerde taken kan uitvoeren als bevoorrecht gebruiker. Een aanvaller heeft netwerktoegang tot de beheerconsole of rapportconsole van de Vocera-servers nodig om deze kwetsbaarheden te kunnen misbruiken. De kwetsbaarheden worden beschreven in de volgende CVE's:
CVE-2022-46898 Willekeurige bestandsupload
CVE-2022-46899 Path Traversal bij Task Exec-bestandsnaam
CVE-2022-46900 Schending van toegangscontrole bij databasebewerkingen
CVE-2022-46901 Path Traversal bij herstel SQL-gegevensbestandsnaam
CVE-2022-46902 Path Traversal bij uitpakken
Getroffen producten: Vocera-platform 5.x
Getroffen componenten:
- Vocera Report Server - Versies 5.8.0.135 en eerder
- Vocera Voice Server - Versies 5.8.0.135 en eerder
Deze kwetsbaarheden zijn verholpen vanaf versie 5.8.0.140 en kunnen worden opgelost door te upgraden naar de nieuwste versie van de software. Klanten met de getroffen producten zijn direct op de hoogte gebracht van deze kwetsbaarheden en de bijbehorende software-update. Tot op heden is er geen incident of inbreuk gemeld met betrekking tot deze kwetsbaarheden. Klik hier om contact op te nemen met Vocera Support voor meer informatie.
Voor meer informatie:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558