Vulnerabilità di Stryker Vocera Report Server e Voice Server
28-Apr-2023
Sono state identificate vulnerabilità di sicurezza che interessano le console Web Vocera Voice Server (VS) e Vocera Report Server (VRS). Le versioni del prodotto interessate contengono vulnerabilità che potrebbero consentire a un utente malintenzionato di caricare file arbitrari sul server e potenzialmente eseguire attività non autenticate come utente privilegiato. Un utente malintenzionato richiederebbe l'accesso di rete alla console di amministrazione o alla console di report dei server Vocera per sfruttare queste vulnerabilità. Le vulnerabilità sono descritte nei seguenti CVE:
CVE-2022-46898 Caricamento file arbitrario
CVE-2022-46899 Attraversamento del percorso nel nome file di Task Exec
CVE-2022-46900 Violazione del controllo di accesso sulle operazioni del database
CVE-2022-46901 Path Traversal nel ripristino del nome del file di dati SQL
CVE-2022-46902 Percorso trasversale durante l'operazione di decompressione
Prodotti interessati: Piattaforma Vocera 5.x
Componenti interessati:
- Vocera Report Server - Versioni 5.8.0.135 e precedenti
- Vocera Voice Server - Versioni 5.8.0.135 e precedenti
Queste vulnerabilità sono state corrette a partire dalla versione 5.8.0.140 e possono essere risolte aggiornando all'ultima versione del software. I clienti dei prodotti interessati sono stati informati direttamente di queste vulnerabilità e del relativo aggiornamento software. Ad oggi non è stato segnalato alcun incidente o violazione relativo a queste vulnerabilità. Per maggiori informazioni clicca qui per contattare il Supporto Vocera.
Per maggiori informazioni:
https://cve.report/CVE-2022-46898
https://cve.report/CVE-2022-46899
https://cve.report/CVE-2022-46900
ACUT-GSNPS-WEB-507558