Vulnérabilités dans les tableaux de bord des défibrillateurs ZOLL
Date de publication :
CVE-2021-27489 [Score CVSS v3 : 8.8]
L'application web peut permettre à un attaquant distant et authentifié de télécharger un fichier malveillant. Ce fichier pourrait permettre d'exécuter des commandes arbitraires à distance.
CVE-2021-27481 [Score CVSS v3 : 5.5]
Les défibrillateurs ZOLL concernés utilisent une clé de chiffrement dans le processus d'échange de données, qui est codée en dur. Cela pourrait permettre à un attaquant local et authentifié d'accéder à des informations sensibles.
CVE-2021-27487 [Score CVSS v3 : 5.5]
Les défibrillateurs ZOLL contiennent des informations d'identification stockées en clair. Cela pourrait permettre à un attaquant local et authentifié d'accéder à des informations sensibles.
CVE-2021-27485 [Score CVSS v3 : 7.5]
L'application de tableau de bord des défibrillateurs ZOLL permet aux utilisateurs de stocker leurs mots de passe dans un format récupérable, ce qui pourrait permettre à un attaquant distant et authentifié de récupérer les informations d'identification à partir du navigateur web.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Exposition d’informations sensibles
- Elévation de privilèges
Criticité
- Scores CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
- Les versions du logiciel de tableau de bord des défibrillateurs ZOLL antérieures à la version 2.2 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour le logiciel de tableau de bord des défibrillateurs ZOLL vers les versions 2.2 ou ultérieures.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
- Une solution d'atténuation est possible, elle est disponible ici.