公開日:2021/01/08 最終更新日:2021/01/08

JVNVU#94662375
Vital Signs Monitor VC150 における複数の脆弱性

概要

Innokas Yhtymä Oy が提供する Vital Signs Monitor VC150 には、複数の脆弱性が存在します。

影響を受けるシステム

  • Vital Signs Monitor VC150 Version 1.7.15 およびそれ以前

詳細情報

Innokas Yhtymä Oy が提供する Vital Signs Monitor VC150 には、次の複数の脆弱性が存在します。

  • クロスサイトスクリプティング (CWE-79) - CVE-2020-27262
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N 基本値: 4.6
  • インジェクション (CWE-74) - CVE-2020-27260
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N 基本値: 5.3

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、管理 Web インターフェイス上に挿入された、任意の Web スクリプトがユーザのウェブブラウザ上で実行される - CVE-2020-27262
  • 機器を直接操作が可能な第三者によって、機器間の通信内容を改ざんされる - CVE-2020-27260

対策方法

アップデートする
開発者が提供する情報をもとに、アップデートしてください。
対策済みバージョンは次の通りです。

  • Vital Signs Monitor VC150 Version 1.7.15b

ベンダ情報

参考情報

  1. ICS Medical Advisory (ICSMA-21-007-01)
    Innokas Yhtymä Oy Vital Signs Monitor

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-27260
CVE-2020-27262
JVN iPedia