Foram identificadas vulnerabilidades de segurança que afetam os consoles da Web do Vocera Voice Server (VS) e Vocera Report Server (VRS). As versões do produto afetadas contêm vulnerabilidades que podem permitir que um invasor carregue arquivos indevidos no servidor e potencialmente execute tarefas não autenticadas como um usuário privilegiado. É necessário que o invasor tenha acesso à rede ao console de administração dos servidores Vocera ou ao console de relatórios para explorar essas vulnerabilidades. As vulnerabilidades são descritas nos seguintes CVEs:
CVE-2022-46898 Upload de arquivo indevido
CVE-2022-46899 Path Traversal no nome do arquivo Task Exec
CVE-2022-46900 Violação de controle de acesso em operações de banco de dados
CVE-2022-46901 Path Traversal na restauração do nome do arquivo de dados SQL
CVE-2022-46902 Path Traversal na operação de descompactação
Produtos afetados: Plataforma Vocera 5.x
Componentes afetados:
Essas vulnerabilidades foram corrigidas a partir da versão 5.8.0.140 e podem ser resolvidas com a atualização para a versão mais recente do software. Os clientes dos produtos afetados foram notificados diretamente sobre essas vulnerabilidades e atualizações de software relacionadas. Até o momento, nenhum incidente ou violação foi relatado relacionado a essas vulnerabilidades. Para mais informações clique aqui para entrar em contato com o Suporte Vocera.
Para obter mais informações:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558