Vulnerabilidad en el módulo de comunicación en el Hospira LifeCare PCA Infusion System (CVE-2015-3459)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
29/04/2015
Última modificación:
12/04/2025
Descripción
El módulo de comunicación en el Hospira LifeCare PCA Infusion System en versiones anteriores a 7.0 no requiere autenticación para sesiones TELNET root, lo que permite a atacantes remotos modificar la configuración de la bomba a través de comandos no especificados.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hospira:lifecare_pcainfusion_firmware:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | |
| cpe:2.3:h:hospira:lifecare_pca3:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hospira:lifecare_pca5:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://hextechsecurity.com/?p=123
- http://imgur.com/CEAnZjj
- http://imgur.com/JHiWSqd
- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm
- http://www.securityfocus.com/bid/74414
- https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01
- https://twitter.com/dyngnosis/status/592671049487142913
- https://twitter.com/dyngnosis/status/592743461977219072
- http://hextechsecurity.com/?p=123
- http://imgur.com/CEAnZjj
- http://imgur.com/JHiWSqd
- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm
- http://www.securityfocus.com/bid/74414
- https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01
- https://twitter.com/dyngnosis/status/592671049487142913
- https://twitter.com/dyngnosis/status/592743461977219072