Katalog CVE

CVE-2024-48966

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Narzędzia oprogramowania używane przez personel serwisowy do testowania i kalibracji wentylatora nie obsługują uwierzytelniania użytkowników. Atakujący z dostępem do komputera serwisowego, na którym zainstalowane są te narzędzia, może uzyskać informacje diagnostyczne lub manipulować ustawieniami wentylatora oraz oprogramowaniem wbudowanym bez konieczności uwierzytelnienia.

Ocena ryzyka

Brak uwierzytelniania stwarza ryzyko nieautoryzowanego ujawnienia informacji oraz potencjalnych niezamierzonych skutków w ustawieniach i wydajności urządzenia, co może zagrażać bezpieczeństwu pacjentów.

Rekomendacja

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla narzędzi serwisowych oraz ograniczenie dostępu do komputera serwisowego, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

The software tools used by service personnel to test & calibrate the ventilator do not support user authentication. An attacker with access to the Service PC where the tools are installed could obtain diagnostic information through the test tool or manipulate the ventilator's settings and embedded software via the calibration tool, without having to authenticate to either tool. This could result in unauthorized disclosure of information and/or have unintended impacts on device settings and performance.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS