Luki w zabezpieczeniach serwera raportów i serwera głosowego Vocera firmy Stryker
28-Apr-2023
Zidentyfikowano luki w zabezpieczeniach mające wpływ na konsole internetowe Vocera Voice Server (VS) i Vocera Report Server (VRS). Wersje produktów którego ten problem dotyczy zawierają luki, które mogą pozwolić atakującemu na przesłanie dowolnych plików na serwer i potencjalne wykonanie nieuwierzytelnionych zadań jako użytkownik uprzywilejowany. Atakujący wymagałby dostępu sieciowego do konsoli administratora serwerów Vocera lub konsoli raportów, aby wykorzystać te luki. Luki zostały opisane w następujących CVE:
CVE-2022-46898 Arbitralne przesyłanie plików (Arbitrary File Upload)
CVE-2022-46899 Przechodzenie przez ścieżki w nazwie pliku Task Exec (Path Traversal in Task Exec Filename)
CVE-2022-46900 Naruszenie kontroli dostępu w operacjach bazy danych (Access Control Violation on Database Operations)
CVE-2022-46901 Path Traversal w przywracaniu nazwy pliku danych SQL (Path Traversal in restore SQL data filename)
CVE-2022-46902 Przechodzenie przez ścieżki podczas operacji rozpakowywania (Path Traversal on Unzip operation)
Produkty dotknięte problemem: Platforma Vocera 5.x
Elementy dotknięte problemem:
- Vocera Report Server - wersje 5.8.0.135 i wcześniejsze
- Vocera Voice Server - wersje 5.8.0.135 i wcześniejsze
Luki te zostały naprawione w wersji 5.8.0.140 i można je usunąć poprzez aktualizację do najnowszej wersji oprogramowania. Klienci produktów, których dotyczy ten problem, zostali bezpośrednio powiadomieni o tych lukach i związanej z nimi aktualizacji oprogramowania. Do tej pory nie zgłoszono żadnego incydentu ani naruszenia związanego z tymi lukami. Aby uzyskać więcej informacji kliknij tutaj, aby skontaktować się z działem pomocy technicznej Vocera.
Więcej informacji:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558