Vulnerabilidades en Hospira LifeCare PCA Infusion System
- LifeCare PCA Infusion System, versión 5.0 y anteriores.
Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.
Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.
Autorización indebida
Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.
Verificación insuficiente de la autenticidad de los datos
Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.
Contraseña embebida
Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.
Almacenamiento de información sensible en texto plano
Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.
Utilización de versión de software vulnerable
El servidor web incluye versiones vulnerables de AppWeb.