Roche Diagnostics - CVE-2026-9844
Date de publication :
Il s'agit d'une vulnérabilité d'utilisation de credentials par défaut dans le module RabbitMQ Management Interface de navify Digital Pathology.
navify Digital Pathology est une plateforme logicielle de pathologie numérique destinée aux laboratoires d'anatomopathologie. Elle assure la numérisation des lames histologiques, leur visualisation et leur intégration dans les workflows de diagnostic via un broker de messages RabbitMQ.
Les identifiants guest:guest sont configurés par défaut à l'installation sans modification obligatoire. Un attaquant réseau non authentifié peut accéder directement à l'interface d'administration complète de RabbitMQ. Il dispose alors des droits suffisants pour supprimer des queues ou injecter des messages arbitraires dans les files de traitement internes.
Elle permet de perturber ou d'interrompre les workflows opérationnels d'analyse et de gestion des fichiers de la plateforme.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-1392 : Use of Default Credentials
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
navify Digital Pathology versions 2.0.0 jusqu'à 2.4.0 inclus
Contournement provisoire
• Déployer navify Digital Pathology exclusivement en réseau local ou privé