JVNVU#95897514
Philips製Vue PACSにおける複数の脆弱性

Philipsが提供するVue PACSには、複数の脆弱性が存在します。

• Vue PACS 12.2.8.410より前のバージョン

Philipsが提供するVue PACSには、次の複数の脆弱性が存在します。

• 境界外書き込み（CWE-787）－CVE-2020-36518
• 信頼できないデータのデシリアライゼーション（CWE-502）－CVE-2020-11113、CVE-2020-35728、CVE-2021-20190、CVE-2020-14061、CVE-2020-10673、CVE-2019-12814、CVE-2017-17485
• リソースの枯渇（CWE-400）－CVE-2021-28165
• 不適切な権限管理（CWE-269）－CVE-2023-40223
• 認証情報を初期設定のまま使用（CWE-1392）－CVE-2023-40704
• 不十分なパスワード強度（CWE-521）－CVE-2023-40539
• 認可されていないActorへの機微な情報の漏えい（CWE-200）－CVE-2023-40159

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• サードパーティー製品のコンポーネントの脆弱性による影響を受ける（CVE-2020-36518、CVE-2020-11113、CVE-2020-35728、CVE-2021-20190、CVE-2020-14061、CVE-2020-10673、CVE-2019-12814、CVE-2017-17485、CVE-2021-28165）
• ユーザーによって、想定外の範囲を制御される（CVE-2023-40223）
• ユーザーによって、重要な機能を利用される（CVE-2023-40704）
• 正規ユーザーのアカウントが侵害される（CVE-2023-40539）
• 認証済みユーザーによって、権限のない同一ネットワーク上の別のPhilips Vue PACSの情報を取得される（CVE-2023-40159）

アップデートする
CVE-2020-36518、CVE-2020-11113、CVE-2020-35728、CVE-2021-20190、CVE-2020-14061、CVE-2020-10673、CVE-2019-12814、CVE-2017-17485、CVE-2023-40223、CVE-2023-40159
開発者は、2023年8月にリリース済みのVue PACS バージョン 12.2.8.400へのアップデートを推奨しています。
CVE-2021-28165
開発者は、2023年10月にリリース済みのVue PACS バージョン 12.2.8.410へのアップデートを推奨しています。

ワークアラウンドを実施する
CVE-2021-28165
 開発者は、アップデートが適用できない場合、InCenterで提供されている「D000763414 - Vue_PACS_12_Ports_Protocols_Services_Guide」に従って、Vue PACS環境を構成することを推奨しています。
CVE-2023-40704、CVE-2023-40539
開発者は、InCenterで提供されている「8G7607 - Vue PACS User Guide Rev G」に従って、Vue PACS環境を構成することを推奨しています。

詳細は、開発者が提供する情報を確認してください。