Vulnérabilités du serveur de rapports et du serveur vocal de Stryker Vocera

28-Apr-2023

Des vulnérabilités relatives à la sécurité ont été identifiées au niveau des consoles Web Vocera Voice Server (VS) et Vocera Report Server (VRS). Les versions de produits concernées contiennent des vulnérabilités qui pourraient permettre à un attaquant de télécharger des fichiers arbitraires sur le serveur et potentiellement d'exécuter des tâches non authentifiées en tant qu'utilisateur privilégié. Pour exploiter ces vulnérabilités, un attaquant doit disposer d'un accès réseau à la console d'administration ou à la console de rapport des serveurs Vocera. Les vulnérabilités sont décrites dans les CVE suivants :

CVE-2022-46898 Téléchargement de fichier arbitraire
CVE-2022-46899 Traversée de chemin dans le nom de fichier de Task Exec
CVE-2022-46900 Violation du contrôle d'accès lors des opérations sur les bases de données
CVE-2022-46901 Traversée de chemin dans la restauration du nom de fichier des données SQL
CVE-2022-46902 Traversée de chemin lors de l'opération de décompression

Produits impactés : Plateforme Vocera 5.x
Composants impactés :

  • Vocera Report Server - Versions 5.8.0.135 et antérieures
  • Vocera Voice Server - Versions 5.8.0.135 et antérieures

Ces vulnérabilités sont corrigées à partir de la version 5.8.0.140 et peuvent être résolues par une mise à jour vers la dernière version du logiciel. Les clients des produits concernés ont été directement informés de ces vulnérabilités et de la mise à jour logicielle correspondante. À ce jour, aucun incident ou infraction n'a été signalé en rapport avec ces vulnérabilités. Pour plus d'informations cliquez ici pour contacter l'assistance Vocera.

Pour plus d’informations :
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902