Stryker Vocera Report Server- und Voice Server-Schwachstellen

28-Apr-2023

Es wurden Sicherheitslücken festgestellt, die sich auf die Webkonsolen Vocera Voice Server (VS) und Vocera Report Server (VRS) auswirken. Betroffene Produktversionen enthalten Schwachstellen, die es einem Angreifer ermöglichen könnten, beliebige Dateien auf den Server hochzuladen und möglicherweise nicht authentifizierte Aufgaben als privilegierter Benutzer auszuführen. Um diese Schwachstellen auszunutzen, benötigt ein Angreifer Netzwerkzugriff auf die Admin-Konsole oder Berichtskonsole der Vocera-Server. Die Schwachstellen werden in den folgenden CVEs beschrieben:

CVE-2022-46898 Beliebiger Datei-Upload
CVE-2022-46899 Pfaddurchquerung im Task Exec-Dateinamen
CVE-2022-46900 Verletzung der Zugriffskontrolle bei Datenbankvorgängen
CVE-2022-46901 Pfaddurchquerung im Wiederherstellungs-SQL-Datendateinamen
CVE-2022-46902 Pfaddurchquerung beim Entpacken-Vorgang

Betroffene Produkte: Vocera-Plattform 5.x
Betroffene Komponenten:

  • Vocera Report Server – Versionen 5.8.0.135 und früher
  • Vocera Voice Server – Versionen 5.8.0.135 und früher

Diese Schwachstellen sind ab Version 5.8.0.140 behoben und können durch ein Upgrade auf die neueste Softwareversion behoben werden. Kunden der betroffenen Produkte wurden direkt über diese Schwachstellen und das damit verbundene Software-Update informiert. Bisher wurden im Zusammenhang mit diesen Schwachstellen keine Vorfälle oder Verstöße gemeldet. Für weitere Informationen Klicken Sie hier, um den Vocera-Support zu kontaktieren.

Weitere Informationen:
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902