Fijación de sesión en Pyxis ES de Becton, Dickinson and Company (BD)
- Pyxis Enterprise Server, desde la versión 1.3.4 hasta la [Actualización 09/10/2019] 1.5.3;
- Pyxis Enterprise Server con Windows Server, desde la versión 4.4 hasta la 4.12.
BD ha reportado una vulnerabilidad, de tipo fijación de sesión, que afecta al equipamiento Pyxis ES (Enterprise Server). La explotación exitosa de esta vulnerabilidad permitiría al atacante reutilizar una sesión de un usuario previamente autenticado, obteniendo el mismo nivel de privilegios y la posibilidad de acceder a datos médicos de los pacientes.
BD ha publicado la versión 1.6.1.1 de Pyxis Enterprise Server para solucionar esta vulnerabilidad.
[Actualización 09/10/2019] BD recomienda actualizar Microsoft Active Directory Services Domain Controllers a la funcionalidad de nivel 2012 o superior.
El producto Pyxis ES tiene una vulnerabilidad de tipo fijación de sesión, debido a una gestión incorrecta del cierre de sesión cuando se ha autenticado un usuario mediante un controlador de dominio. Esta vulnerabilidad permitiría a un atacante reutilizar la sesión del usuario, anteriormente registrado en el sistema, con el fin de conseguir privilegios y acceder al dispositivo. La explotación exitosa de esta vulnerabilidad permitiría obtener información sensible de datos confidenciales de los pacientes. Se ha reservado el identificador CVE-2019-13517 para esta vulnerabilidad.
