Выявлены уязвимости безопасности, связанные с веб-консолями сервера голосовой связи (VS) Vocera и сервера отчетов Vocera (VRS). Затронутые версии продуктов содержат уязвимости, которые могут позволять злоумышленнику загружать на сервер произвольные файлы и потенциально выполнять несанкционированные задания в роли привилегированного пользователя. Чтобы воспользоваться этими уязвимостями, злоумышленнику понадобится сетевой доступ к консоли администратора или консоли отчетов серверов Vocera. Уязвимости описаны в следующих CVE:
CVE-2022-46898 Загрузка на сервер произвольного файла
CVE-2022-46899 Обход пути в имени файла выполнения задания
CVE-2022-46900 Нарушение контроля доступа к операциям с базами данных
CVE-2022-46901 Обход пути при восстановлении имени файла с данными SQL
CVE-2022-46902 Обход пути при разархивировании
Затронутые продукты: Платформа Vocera 5.x
Затронутые компоненты:
- Сервер отчетов Vocera — версии 5.8.0.135 и более ранние
- Сервер голосовой связи Vocera — версии 5.8.0.135 и более ранние
Эти уязвимости устранены в версии 5.8.0.140, их можно исправить, обновив программное обеспечение до последней версии. Клиентов с затронутыми продуктами непосредственно уведомили об этих уязвимостях и необходимости обновления соответствующего программного обеспечения. На сегодняшний день не сообщалось об инцидентах или нарушениях, связанных с этими уязвимостями. Для получения дополнительной информации щелкните здесь, чтобы связаться со службой поддержки Vocera.
Дополнительная информация:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
https://cve.report/CVE-2022-46901
https://cve.report/CVE-2022-46902