Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Vital Signs Monitor VC150 de Innokas Yhtymä Oy

Múltiples vulnerabilidades en Vital Signs Monitor VC150 de Innokas Yhtymä Oy

Fecha de publicación: 
08/01/2021
Importancia: 
3 - Media
Recursos afectados: 
  • Monitor Vital Signs VC150, versiones anteriores a la 1.7.15.
Descripción: 

Los investigadores, Julian Suleder, Nils Emmerich, Birk Kauer y Oliver Matula, de ERNW, han reportado dos vulnerabilidades, de severidad media, de tipo cross-site scripting (XSS) e inyección de código.

Solución: 
  • Actualizar a la versión 1.7.15b o posterior.
  • Adicionalmente, el fabricante recomienda:
    • Segmentar la red utilizando VLAN y aislar los dispositivos con medidas de seguridad.
    • Implementar protecciones físicas para evitar accesos no autorizados a los dispositivos.
    • Fomentar la conciencia de seguridad del personal hospitalario.
Detalle: 
  • Un atacante podría inyectar secuencias arbitrarias de comandos web o HTML, a través del parámetro de nombre de archivo, en ciertos puntos de la interfaz web administrativa. Se ha asignado el identificador CVE-2020-27262 para esta vulnerabilidad.
  • Un atacante podría inyectar segmentos de mensajes HL7 v2.x a través de múltiples parámetros, haciendo uso de un lector de código de barras. Se ha asignado el identificador CVE-2020-27260 para esta vulnerabilidad.  

Encuesta valoración