B. Braun Melsungen - CVE-2023-0888
Date de publication :
Un défaut dans B. Braun Battery Pack permet à un attaquant, disposant à la fois d’un accès au réseau WiFi de l’appareil et d’une connexion à son interface web, d’obtenir un accès administrateur (root) au module de communication de la pompe à perfusion.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur privilégié.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui.
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
B. Braun Battery pack SP avec Wi-Fi: (Numéro de série 138853 et supérieur) avec le software 053L000091 (global) / 054U000091 (U.S.) et 053L000092 (global) / 054U000092 (U.S.).
Solutions ou recommandations
Mettre à jour les appareils B. Braun Battery pack SP vers la version 053L000093 (global) / 054U000093 (U.S.) ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Bbraun.