JVNVU#97972484
Becton, Dickinson and Company製Alaris Systemにおける複数の脆弱性

Becton, Dickinson and Company（BD）社が提供するGuardrails Suite MXを利用するAlaris Systemには、複数の脆弱性が存在します。

• BD Alaris Point-of-Care Unit（PCU）Model 8015 バージョン 12.1.3およびそれ以前
• BD Alaris Guardrails Editor バージョン 12.1.2およびそれ以前
• BD Alaris Systems Manager バージョン 12.3およびそれ以前
• CQI Reporter v10.17およびそれ以前
• Calculation Services バージョン 1.0およびそれ以前

BD社が提供するGuardrails Suite MXを利用するAlaris Systemには、次の複数の脆弱性が存在します。

• 不適切な入力検証 (CWE-20) - CVE-2023-30559
• 不適切な認証 (CWE-287) - CVE-2023-30560
• 重要データに対する暗号化の欠如 (CWE-311) - CVE-2023-30561
• データの信頼性確認が不十分 (CWE-345) - CVE-2023-30562
• クロスサイトスクリプティング (CWE-79) - CVE-2023-30563、CVE-2023-30564
• 重要情報の平文送信 (CWE-319) - CVE-2023-30565
• XML 外部エンティティ参照（XXE）の不適切な制限 (CWE-611) - CVE-2018-1285

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 当該製品に物理的にアクセス可能な第三者によって、ファームウェアを変更される - CVE-2023-30559
• 当該製品に物理的にアクセス可能な第三者によって、Point-of-Care Unit（PCU）からの設定を変更される - CVE-2023-30560
• 当該製品に物理的にアクセス可能な第三者によって、データを窃取されたり変更されたりする - CVE-2023-30561
• 隣接ネットワーク上の低権限ユーザによって、GREデータセットファイルが改ざんされ、PCUに配布される - CVE-2023-30562
• 遠隔の第三者によって、細工されたファイルがアップロードされ、セッションが乗っ取られる - CVE-2023-30563
• 隣接ネットワーク上の低権限ユーザによって、機微な情報を窃取される - CVE-2023-30564、CVE-2023-30565
• ローカルの高権限ユーザによって、コマンドを実行される - CVE-2018-1285

アップデートする
開発者は、CVE-2018-1285、CVE 2023-30563、CVE-2023-30564、およびCVE-2023-30565を修正し、CVE 2023-30562を部分的に修正するアップデートを公開しています。

緩和策を実施する
開発者は、緩和策の適用も推奨しています。

詳細は、開発者にお問い合わせください。