Vulnerabilidad en la aplicación Philips ISCV (CVE-2018-5438)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/03/2018

Última modificación:

20/04/2018

Descripción

La aplicación Philips ISCV, en versiones anteriores a la 2.3.0, tiene una vulnerabilidad de expiración insuficiente de sesión donde un atacante podría reutilizar la sesión de un usuario que haya iniciado sesión anteriormente. La vulnerabilidad existe al emplear ISCV junto con un sistema EMR (Electronic Medical Record) cuando ISCV está en modo KIOSK para múltiples usuarios y empleando autenticación de Windows. Esto podría permitir que un atacante obtenga acceso no autorizado a información de salud del paciente y que pueda modificarla.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: AV:L/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno