Multiples vulnérabilités dans Contec Health CMS8000

Date de publication :

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Déni de service

    Modification de fichiers

    Modification de comportement

    Atteinte à la confidentialité

Criticité

    Score CVSS v3.1: 7.5 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Non, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-284: Improper Access Control

CWE-400: Uncontrolled Resource Consumption

CWE-798: Use of Hard-coded Credentials

CWE-489: Active Debug Code

Détails sur l’exploitation

Pour la CVE-2022-36385 :

    Vecteur d’attaque : Physique.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38100 :

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38069 :

    Vecteur d’attaque : Physique.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38453 :

    Vecteur d’attaque : Local.

    Complexité de l’attaque : Élevé.

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégiée.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-3027 :

    Vecteur d’attaque : Adjacent.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE

    Contec Health CMS8000 Contec ICU CCU Vital Signs Patient Monitor

Solutions ou recommandations

  • Aucune mise à jour n’est disponible pour le moment.

  • Si vous possédez des produits vulnérables, il est conseillé de contacter Contec Health.

  • Le CISA propose plusieurs méthodes pour limiter les risques dans leur bulletin.

Liens