公開日:2020/09/18 最終更新日:2020/09/18

JVNVU#94803567
Philips 製 Clinical Collaboration Platform に複数の脆弱性

概要

Philips 社が提供する Clinical Collaboration Platform には複数の脆弱性が存在します。

影響を受けるシステム

  • Clinical Collaboration Platform Version 12.2.1 およびそれ以前

詳細情報

Clinical Collaboration Platform は Philips 社が提供する医用画像情報システムです。
Clinical Collaboration Platform には、次の複数の脆弱性が存在します。
 
  • クロスサイトリクエストフォージェリ (CWE-352) - CVE-2020-14506
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N 基本値: 3.4
  • Web ページのタグの属性におけるスクリプトの不適切な無効化 (CWE-83) - CVE-2020-14525
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 3.5
  • 保護メカニズムの不具合 (CWE-693) - CVE-2020-16198
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 5.0
  • アルゴリズムのダウングレード (CWE-757) - CVE-2020-16200
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5
  • 環境設定 (CWE-16) - CVE-2020-16247
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H 基本値: 6.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。
 
  • 当該製品にログインしたユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2020-14506
  • 当該製品にログインしたユーザーによって、任意のスクリプトを実行される - CVE-2020-14525
  • 隣接する第三者によって、認証を回避され、不正アクセスされる - CVE-2020-16198
  • 隣接する第三者によって、リソース枯渇を引き起こされ、サービス運用妨害 (DoS) 状態にされる - CVE-2020-16200
  • 第三者によって、機微な情報に不正アクセスされる - CVE-2020-16247

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
Philips Product Security

参考情報

  1. ICS Medical Advisory (ICSMA-20-261-01)
    Philips Clinical Collaboration Platform

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
CVE-2020-14506
CVE-2020-14525
CVE-2020-16198
CVE-2020-16200
CVE-2020-16247
JVN iPedia