Vulnerabilidad en Hospira LifeCare PCA Infusion System (CVE-2014-5406)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
06/07/2015
Última modificación:
03/11/2025
Descripción
Hospira LifeCare PCA Infusion System anterior a 7.0 no valida trafico de la red asociado con el envío de (1) una librería de drogas, (2) una actualización de software o (3) un cambio de configuración, lo que permite a atacantes remotos modificar configuraciones o datos de medicamientos a través de paquetes en el puerto (a) TELNET, (b) HTTP, (c) HTTPS, o (d) UPNP. NOTA: este problema podría solapar el CVE-2015-3459.
Impacto
Puntuación base 2.0
7.60
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hospira:lifecare_pcainfusion_firmware:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | |
| cpe:2.3:h:hospira:lifecare_pca3:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hospira:lifecare_pca5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm
- https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2015/icsa-15-125-01.json
- https://www.cisa.gov/news-events/ics-advisories/icsa-15-125-01
- https://xs-sniper.com/blog/2015/06/08/hospira-plum-a-infusion-pump-vulnerabilities/
- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm
- https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01
- https://xs-sniper.com/blog/2015/06/08/hospira-plum-a-infusion-pump-vulnerabilities/