[Actualización 09/09/2022] Múltiples vulnerabilidades en herramientas de gestión Welch Allyn de Hillrom
Fecha de publicación 02/06/2021
Importancia
3 - Media
Recursos Afectados
- Welch Allyn Service Tool, versiones anteriores a 1.10;
- Welch Allyn Connex Device Integration Suite – Network Connectivity Engine (NCE), versiones anteriores a 5.3;
- Welch Allyn Software Development Kit (SDK), versiones anteriores a 3.2;
- Welch Allyn Service Monitor, versiones anteriores a 1.7.0.0;
- Welch Allyn Connex Vital Signs Monitor (CVSM), versiones anteriores a 2.43.02;
- Welch Allyn Connex Integrated Wall System (CIWS), versiones anteriores a 2.43.02;
- Welch Allyn Connex Spot Monitor (CSM), versiones anteriores a 1.52;
- Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device, versiones anteriores a 1.11.00.
[Actualización 09/09/2022]
- Welch Allyn Connex Central Station (CS), versiones anteriores a 1.8.4.
Descripción
Uriel Malin, Jamison Utter e Itay Kirshenbaum, investigadores de Medigate, han reportado al fabricante 2 vulnerabilidades, ambas de severidad media, que podrían permitir a un atacante corromper la memoria o ejecutar código arbitrario de manera remota.
Solución
Actualizar a las siguientes versiones:
- Welch Allyn Service Tool, 1.10;
- Welch Allyn Connex Device Integration Suite - Network Connectivity Engine (NCE), 5.3 (disponible en verano de 2021);
- Welch Allyn Software Development Kit (SDK), 3.2;
- Welch Allyn Service Monitor, 1.7.0.0;
- Welch Allyn Connex Vital Signs Monitor (CVSM), 2.43.02;
- Welch Allen Connex Integrated Wall System (CIWS), 2.43.02;
- Welch Allyn Connex Spot Monitor (CSM), 1.52;
- Welch Allyn Spot Vital Signs 4400 Device (Spot 4400) / Welch Allyn Spot 4400 Vital Signs Extended Care Device, 1.11.00 (disponible en otoño de 2021).
[Actualización 09/09/2022]
- Welch Allyn Connex Central Station (CS), versión 1.8.4 (disponible a finales de 2022).
Detalle
- El producto afectado es vulnerable a una escritura fuera de límites, que podría permitir la corrupción de datos o a la ejecución de código. Se ha asignado el identificador CVE-2021-27410 para esta vulnerabilidad.
- El producto afectado es vulnerable a una lectura fuera de límites, que podría causar una fuga de información que conduzca a la ejecución de código arbitrario si se encadena con la vulnerabilidad de escritura fuera de límites. Se ha asignado el identificador CVE-2021-27408 para esta vulnerabilidad.
Listado de referencias
Etiquetas