Multiples vulnérabilités dans Contec Health CMS8000

Date de publication :

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Modification de fichiers
  • Modification de comportement
  • Atteinte à la confidentialité

Criticité

  • Score CVSS v3.1: 7.5 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Non, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Oui, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-284: Improper Access Control

CWE-400: Uncontrolled Resource Consumption

CWE-798: Use of Hard-coded Credentials

CWE-489: Active Debug Code

Détails sur l’exploitation

Pour la CVE-2022-36385 :

  • Vecteur d’attaque : Physique.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38100 :

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38069 :

  • Vecteur d’attaque : Physique.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-38453 :

  • Vecteur d’attaque : Local.
  • Complexité de l’attaque : Élevé.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégiée.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-3027 :

  • Vecteur d’attaque : Adjacent.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE

  • Contec Health CMS8000 Contec ICU CCU Vital Signs Patient Monitor

Solutions ou recommandations

  • Aucune mise à jour n’est disponible pour le moment.

  • Si vous possédez des produits vulnérables, il est conseillé de contacter Contec Health.

  • Le CISA propose plusieurs méthodes pour limiter les risques dans leur bulletin.

Liens