Luki w zabezpieczeniach serwera raportów i serwera głosowego Vocera firmy Stryker

28-Apr-2023

Zidentyfikowano luki w zabezpieczeniach mające wpływ na konsole internetowe Vocera Voice Server (VS) i Vocera Report Server (VRS). Wersje produktów którego ten problem dotyczy zawierają luki, które mogą pozwolić atakującemu na przesłanie dowolnych plików na serwer i potencjalne wykonanie nieuwierzytelnionych zadań jako użytkownik uprzywilejowany. Atakujący wymagałby dostępu sieciowego do konsoli administratora serwerów Vocera lub konsoli raportów, aby wykorzystać te luki. Luki zostały opisane w następujących CVE:

CVE-2022-46898 Arbitralne przesyłanie plików (Arbitrary File Upload)
CVE-2022-46899 Przechodzenie przez ścieżki w nazwie pliku Task Exec (Path Traversal in Task Exec Filename)
CVE-2022-46900 Naruszenie kontroli dostępu w operacjach bazy danych (Access Control Violation on Database Operations)
CVE-2022-46901 Path Traversal w przywracaniu nazwy pliku danych SQL (Path Traversal in restore SQL data filename)
CVE-2022-46902 Przechodzenie przez ścieżki podczas operacji rozpakowywania (Path Traversal on Unzip operation)

Produkty dotknięte problemem: Platforma Vocera 5.x
Elementy dotknięte problemem:

  • Vocera Report Server - wersje 5.8.0.135 i wcześniejsze
  • Vocera Voice Server - wersje 5.8.0.135 i wcześniejsze

Luki te zostały naprawione w wersji 5.8.0.140 i można je usunąć poprzez aktualizację do najnowszej wersji oprogramowania. Klienci produktów, których dotyczy ten problem, zostali bezpośrednio powiadomieni o tych lukach i związanej z nimi aktualizacji oprogramowania. Do tej pory nie zgłoszono żadnego incydentu ani naruszenia związanego z tymi lukami. Aby uzyskać więcej informacji kliknij tutaj, aby skontaktować się z działem pomocy technicznej Vocera.

Więcej informacji:
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902