Vulnerabilidad en el panel de control HMI3 del Panel Swisslog Healthcare Nexus (CVE-2021-37166)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-120
Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico)
Fecha de publicación:
02/08/2021
Última modificación:
07/11/2023
Descripción
Se ha detectado un problema de desbordamiento de búfer conllevando a una denegación de servicio en el panel de control HMI3 del Panel Swisslog Healthcare Nexus que funciona con versiones de software anteriores a Nexus Software 7.2.5.7. Cuando HMI3 se inicia, vincula un servicio local a un puerto TCP en todas las interfaces del dispositivo, y la interfaz gráfica de usuario tarda mucho tiempo en conectarse al socket TCP, permitiendo que la conexión sea secuestrada por un atacante externo
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:swisslog-healthcare:hmi-3_control_panel_firmware:*:*:*:*:*:*:*:* | 7.2.5.7 (excluyendo) | |
| cpe:2.3:h:swisslog-healthcare:hmi-3_control_panel:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.armis.com/PwnedPiper
- https://www.swisslog-healthcare.com
- https://www.swisslog-healthcare.com/-/media/swisslog-healthcare/documents/customer-service/armis-documents/cve-2021-37166-bulletin---gui-socket-denial-of-service.pdf?rev=05321b2af1064eb2a6d6e6bf77604c6b&hash=40A927FE1153AA980428C93B2EF7EB40
- https://www.swisslog-healthcare.com/en-us/customer-care/security-information/cve-disclosures#:~:text=CVE%20Disclosures%20%20%20%20Vulnerability%20Name%20%2C%20%20CVE-2021-37164%20%204%20more%20rows%20