Deux vulnérabilités critiques identifiées dans les lecteurs de cassettes de radiographie Fujifilm

Risques

• Exécution de code arbitraire ;
• Atteinte à la confidentialité des données.

Criticité

• Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

• Aucun code d'exploitation connu des vulnérabilités n'a été diffusé.

Composants & versions vulnérables

• CR-IR 357 FCR Carbon X ;
• CR-IR 357 FCR XC-2 ;
• CR-IR 357 FCR Capsula X.

CVE

• CVE-2019-10948
• CVE-2019-10950

Mise en place de correctif de sécurité

• Aucune mise à jour n'a pour le moment été diffusée par Fujifilm.

Solution de contournement

• Pour empêcher l'exploitation de ces vulnérabilités, les utilisateurs peuvent configurer le système CR-IR-357 avec la fonctionnalité « Secure Host ». Cette configuration demande en effet au système CR-IR-357 d'ignorer le trafic réseau autrement que par l'adresse IP de la console d'acquisition des images. Toutefois, cette configuration empêche le partage du lecteur CR-IR 357 avec plus d'une console d'acquisition d'images.
• Fujifilm recommande également de segmenter le réseau ou d'utiliser un VLAN pour séparer le trafic public du réseau privé.