Vulnérabilité dans les produits d'imagerie médical Philips Vue PACS

CVE-2020-1938 [Score CVSS v3 : 9.8]
Le mécanisme de vérification des données passées en entrée par les utilisateurs est incorrect. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité afin d’exécuter du code arbitraire.
 

CVE-2018-12326 [Score CVSS v3 : 8.4]
Cette vulnérabilité impacte le composant logiciel tiers Redis. Elle est due à un problème d’écriture /lecture mémoire hors limite. Un attaquant local et non authentifié peut exploiter cette faille afin de provoquer un débordement de tampon et exécuter du code arbitraire ou accéder à des informations sensibles.
 

CVE-2018-11218 [Score CVSS v3 : 9.8]
Cette vulnérabilité impacte le composant logiciel tiers Redis. Elle est due à un problème d’écriture /lecture mémoire hors limite. Un attaquant distant et non authentifié peut exploiter cette faille afin de provoquer un débordement de tampon et exécuter du code arbitraire ou accéder à des informations sensibles.
 

CVE-2020-4670 [Score CVSS v3 : 9.1]
Cette vulnérabilité impacte le composant logiciel tiers Redis. La faille est due à un manque de vérification sur l’identité déclarée par les utilisateurs. L'exploitation de cette vulnérabilité peut permettre à un attaquant distant et non authentifié de 
 

CVE-2018-8014 [Score CVSS v3 : 9.8]
Cette vulnérabilité impacte le composant logiciel tiers Apache Tomcat. La valeur 'supportsCredentials' est validée quelque soit son origine. Un attaquant distant et non-authentifié peut potentiellement procéder un contournement d’authentification en exploitant cette faille.
 

CVE-2021-33020 [Score CVSS v3 : 8.2]
Le mécanisme de validation des clés cryptographiques et mots de passe autorise l’utilisation de secrets d’authentification périmés.
 

CVE-2018-10115 [Score CVSS v3 : 7.8]
Cette vulnérabilité impacte le composant logiciel tiers 7-Zip. Une logique d'initialisation incorrecte des objets du décodeur RAR peut conduire à l'utilisation de mémoire non initialisée, pouvant permettre à un attaquant distant et non authentifié de provoquer un déni de service (défaut de segmentation) ou d'exécuter du code arbitraire via une archive RAR manipulée.
 

CVE-2021-33018 [Score CVSS v3 : 6.5]
L'utilisation d'algorithmes cryptographiques non sûrs ou obsolètes est autorisée. L’utilisation de tel algorithme de chiffrement peut permettre à un attaquant distant et non authentifié d’accéder à des informations sensibles.
 

CVE-2021-27493 [Score CVSS v3 : 6.1]
Les mécanismes de vérification de l’intégrité et du caractère non malveillant des données passées en entrée sont incorrects ou absents. Cette vulnérabilité peut potentiellement être exploitée par un attaquant distant et non authentifié afin d’accéder à des informations sensibles ou d’exécuter du code arbitraire.
 

CVE-2019-9636 [Score CVSS v3 : 9.8]
Les logiciels Philips Vue gèrent de façon incorrecte certaines données en entrée utilisant l’encodage Unicode. Cette vulnérabilité peut potentiellement être exploitée par un attaquant distant et non authentifié afin d’accéder à des informations sensibles ou d’exécuter du code arbitraire.
 

CVE-2021-33024 [Score CVSS v3 : 3.7]
Le mécanisme de stockage et de transmission des données d’authentification n’est pas correctement sécurisé. L’exploitation de cette vulnérabilité peut permettre à un attaquant distant et non authentifié d’accéder à ces informations afin de s’authentifier grâce aux données volées dans un second temps.
 

CVE-2021-33022[Score CVSS v3 : 7.5]
Les logiciels Philips Vue transmettent des données sensibles ou critiques en clair dans un canal de communication qui peut être intercepté par des acteurs non autorisés.