Multiples vulnérabilités dans Contec Health CMS8000
Date de publication :
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Modification de fichiers
- Modification de comportement
- Atteinte à la confidentialité
Criticité
- Score CVSS v3.1: 7.5 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentées.
Un correctif existe
- Non, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Oui, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
- Pour les CVE-2022-36385 et CVE-2022-3027
CWE-284: Improper Access Control
- Pour la CVE-2022-38100
CWE-400: Uncontrolled Resource Consumption
- Pour la CVE-2022-38069
CWE-798: Use of Hard-coded Credentials
- Pour la CVE-2022-38453
Détails sur l’exploitation
Pour la CVE-2022-36385 :
- Vecteur d’attaque : Physique.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-38100 :
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-38069 :
- Vecteur d’attaque : Physique.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-38453 :
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Élevé.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégiée.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-3027 :
- Vecteur d’attaque : Adjacent.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE
- Contec Health CMS8000 Contec ICU CCU Vital Signs Patient Monitor
Solutions ou recommandations
Aucune mise à jour n’est disponible pour le moment.
Si vous possédez des produits vulnérables, il est conseillé de contacter Contec Health.
Le CISA propose plusieurs méthodes pour limiter les risques dans leur bulletin.