Inicio / Alerta Temprana / Avisos Sci / Fijación de sesión en Pyxis ES de Becton, Dickinson and Company (BD)

Fijación de sesión en Pyxis ES de Becton, Dickinson and Company (BD)

Fecha de publicación: 
06/09/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Pyxis Enterprise Server, desde la versión 1.3.4 hasta la 1.6.1;
  • Pyxis Enterprise Server con Windows Server, desde la versión 4.4 hasta la 4.12.
Descripción: 

BD ha reportado una vulnerabilidad, de tipo fijación de sesión, que afecta al equipamiento Pyxis ES (Enterprise Server). La explotación exitosa de esta vulnerabilidad permitiría al atacante reutilizar una sesión de un usuario previamente autenticado, obteniendo el mismo nivel de privilegios y la posibilidad de acceder a datos médicos de los pacientes.

Solución: 

BD ha publicado la versión 1.6.1.1 de Pyxis Enterprise Server para solucionar esta vulnerabilidad.

Detalle: 

El producto Pyxis ES tiene una vulnerabilidad de tipo fijación de sesión, debido a una gestión incorrecta del cierre de sesión cuando se ha autenticado un usuario mediante un controlador de dominio. Esta vulnerabilidad permitiría a un atacante reutilizar la sesión del usuario, anteriormente registrado en el sistema, con el fin de conseguir privilegios y acceder al dispositivo. La explotación exitosa de esta vulnerabilidad permitiría obtener información sensible de datos confidenciales de los pacientes. Se ha reservado el identificador CVE-2019-13517 para esta vulnerabilidad.

Encuesta valoración