CVE-2024-48966
CriticalSummary
Narzędzia oprogramowania używane przez personel serwisowy do testowania i kalibracji wentylatora nie obsługują uwierzytelniania użytkowników. Atakujący z dostępem do komputera serwisowego, na którym zainstalowane są te narzędzia, może uzyskać informacje diagnostyczne lub manipulować ustawieniami wentylatora oraz oprogramowaniem wbudowanym bez konieczności uwierzytelnienia.
Risk Assessment
Brak uwierzytelniania stwarza ryzyko nieautoryzowanego ujawnienia informacji oraz potencjalnych niezamierzonych skutków w ustawieniach i wydajności urządzenia, co może zagrażać bezpieczeństwu pacjentów.
Recommendation
Zaleca się wprowadzenie mechanizmów uwierzytelniania dla narzędzi serwisowych oraz ograniczenie dostępu do komputera serwisowego, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
The software tools used by service personnel to test & calibrate the ventilator do not support user authentication. An attacker with access to the Service PC where the tools are installed could obtain diagnostic information through the test tool or manipulate the ventilator's settings and embedded software via the calibration tool, without having to authenticate to either tool. This could result in unauthorized disclosure of information and/or have unintended impacts on device settings and performance.

