Stryker Vocera 報告伺服器和語音伺服器弱點

28-Apr-2023

已經發現安全性弱點,影響 Vocera 語音伺服器 (Voice Server, VS) 和 Vocera 報告伺服器 (Vocera Report Server, VRS) 網站控制台。 受影響的產品版本包含弱點,可能允許攻擊者上傳任意檔案 (arbitrary files) 至伺服器以及可能以特權使用者身分 (privileged user) 執行未經驗證的任務。 攻擊者可能需要網路存取 Vocera 伺服器的管理控制台或報告控制台來不正當利用這些弱點。 這些弱點在下列 CVE 中說明:

CVE-2022-46898 任意檔案上傳
CVE-2022-46899 在任務作業系統檔案名稱 (Task Exec Filename) 的路徑遍歷 (Path Traversal)
CVE-2022-46900 對資料庫操作的存取控制侵犯
CVE-2022-46901 在恢復 SQL 資料檔案名稱的路徑遍歷
CVE-2022-46902 對解壓縮 (Unzip) 操作的路徑遍歷

受影響產品: Vocera 平台 5.x
受影響組成部分:

  • Vocera 報告伺服器 - 版本 5.8.0.135 及更早版本
  • Vocera 語音伺服器 - 版本 5.8.0.135 及更早版本

這些弱點直到版本 5.8.0.140 已經修理,可以升級至最新軟體版本來解決這些弱點。 這些弱點和相關軟體更新已經直接通知受影響產品的客戶。 到目前沒有報告與這些弱點相關的意外事件或違反。 更多資訊請點選此處聯絡 Vocera 支援

更多資訊:
https://cve.report/CVE-2022-46898

https://cve.report/CVE-2022-46899

https://cve.report/CVE-2022-46900

https://cve.report/CVE-2022-46901

https://cve.report/CVE-2022-46902