Filtración de información confidencial a través de Philips IntelliSpace y Xcelera
A las vulnerabilidades encontradas se les han asignado los identificadores CVE-2018-14787 y CVE-2018-14789. La primera vulnerabilidad es debida a una gestión incorrecta de los privilegios, y la segunda es debida a un error de sanitización de los parámteros en el campo de búsqueda.
Aunque por separado, estas vulnerabilidades no son críticas, ambas juntas podrían permitir a un atacante ejecutar código arbitrario, lo que puede provocar a la obtención de detalles de los pacientes existentes en el sistema.
A día de hoy, según el Philips no han recibido datos ni indicios de que estas vulnerabilidades hayan sido explotadas.
Las vulnerabilidades afectan a la versión 3.1 o anterior de IntelliSpace Cardiovascular y a la versión 4.1 o anterior de de Xcelera.
Actualmente no hay parche oficial disponible que corrija estos problemas. Los parches que corrigen estas vulnerabilidades serán lanzados en su próxima versión prevista para el mes de octubre. Mientras tanto, Philip recomienda que se revisen los permisos a los archivos de todos los usuarios de la red.
Powered by WPeMatico