JVNVU#93193058
B.Braun Melsungen AG社の複数の製品における複数の脆弱性

B.Braun Melsungen AG社が提供する複数の製品には、複数の脆弱性が存在します。

• SpaceCom:ソフトウェアバージョン011L0000L81および前のバージョン
• Battery pack with WiFi:ソフトウェアバージョン027L0000L81および前のバージョン
• Data module compactplus:ソフトウェアバージョンI0050A0010およびI0050A0011

B.Braun Melsungen AG社が提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な入力確認 (CWE-20) - CVE-2021-33886

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

  基本値: 6.8

• データの信頼性についての不十分な検証 (CWE-345) - CVE-2021-33885

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

  基本値: 9.0

• 重要な機能に対する認証欠如の問題 (CWE-306) - CVE-2021-33882

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

  基本値: 6.8

• 機密情報の平文送信 (CWE-319) - CVE-2021-33883

  CVSS v3

  CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

  基本値: 5.9

• 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-33884

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

  基本値: 6.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 機器と同一ネットワークに接続可能な第三者によって、ユーザ権限のコマンドラインへアクセスされる - CVE-2021-33886
• 認証されていない遠隔の第三者によって悪意のあるデータを送信され、システムコマンドを実行される - CVE-2021-33885
• 認証されていない遠隔の第三者によって、機器を再構成される - CVE-2021-33882
• 遠隔の第三者によってトラフィックを取得され、機密情報を窃取される - CVE-2021-33883
• 遠隔の第三者によって、重要なファイルを上書きされる - CVE-2021-33884

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ワークアラウンドを実施する
開発者はネットワーク環境へのワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。