nvd
Baxter
Уязвимости
27
Эксплуатируемые
0
Критический
13
Высокий
5
Топ продуктов
Sigma Spectrum Infusion System10Sigma Spectrum Infusion System Firmware10Wireless Battery Module8Em12006Em1200 Firmware6Em24006Em2400 Firmware6Baxter Spectrum Iq 35700bax34Baxter Spectrum Iq 35700bax3 Firmware4Sigma Spectrum 35700bax4Sigma Spectrum 35700bax24Sigma Spectrum 35700bax2 Firmware4Sigma Spectrum 35700bax Firmware4Spectrum Wireless Battery Module4Spectrum Wireless Battery Module Firmware4Prismaflex3Prismaflex Firmware3Prismax3Prismax Firmware3Connex Health Portal2
Топ уязвимостей
CVE-2024-6795В медицинском портале Connex, выпущенном до 30.08.2024, были обнаружены уязвимости SQL-инъекций, которые могли позволить не прошедшему проверку подлинности злоумышленнику получить несанкционированный доступ к базе данных портала Connex.
Злоумышленник мог отправить специально созданную полезную нагрузку на портал Connex, что могло привести к изменению и раскрытию содержимого базы данных и/или выполнению административных операций, включая завершение работы базы данных.
CVE-2021-43935Затронутые продукты, при настройке на использование SSO, подвержены уязвимости неправильной аутентификации. Эта уязвимость позволяет приложению принимать ручной ввод любой учетной записи Active Directory (AD), подготовленной в приложении, без предоставления пароля, что приводит к доступу к приложению как к предоставленной учетной записи AD со всеми связанными привилегиями.
CVE-2020-12047Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31 и v22D24) при использовании с Baxter Spectrum v8.x (модель 35700BAX2) в беспроводной конфигурации по умолчанию включает службу FTP с жестко закодированными учетными данными.
CVE-2020-12045Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31 и v22D24) при использовании в сочетании с Baxter Spectrum v8.x (модель 35700BAX2) запускает службу Telnet на порту 1023 с жестко закодированными учетными данными.
CVE-2020-12043Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31 и v22D24) при настройке для беспроводной сети служба FTP, работающая на WBM, остается работоспособной до перезагрузки WBM.
CVE-2020-12040Sigma Spectrum Infusion System версий 6.x (модель 35700BAX) и Baxter Spectrum Infusion System версии 8.x (модель 35700BAX2) на уровне приложения использует неаутентифицированный канал связи в виде открытого текста для отправки и получения системного статуса и оперативных данных. Это может позволить злоумышленнику, который обошел меры сетевой безопасности, просматривать конфиденциальные неличные данные или выполнять атаку типа "человек посередине".
CVE-2020-12016Baxter ExactaMix EM 2400 & EM 1200, версии ExactaMix EM2400 версий 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 версий 1.1, 1.2, 1.4, 1.5, Baxter ExactaMix EM 2400 версий 1.10, 1.11, 1.13, 1.14 и ExactaMix EM1200 версий 1.1, 1.2, 1.4 и 1.5 имеют жестко закодированные учетные данные административной учетной записи для операционной системы ExactaMix. Успешная эксплуатация этой уязвимости может позволить злоумышленнику, получившему несанкционированный доступ к системным ресурсам, включая доступ к выполнению программного обеспечения или к просмотру/обновлению файлов, каталогов или конфигурации системы. Это может позволить злоумышленнику с сетевым доступом просматривать конфиденциальные данные, включая PHI.
CVE-2014-5434Baxter SIGMA Spectrum Infusion System версии 6.05 (модель 35700BAX) с беспроводным батарейным модулем (WBM) версии 16 имеет учетную запись по умолчанию с жестко закодированными учетными данными, используемыми с протоколом FTP. Baxter утверждает, что никакие файлы не могут быть переданы на WBM или с него с использованием этой учетной записи. Baxter выпустила новую версию SIGMA Spectrum Infusion System, Version 8, которая включает в себя аппаратные и программные изменения.
CVE-2014-5433Неаутентифицированный удаленный злоумышленник может выполнять команды для просмотра учетных данных беспроводной сети, хранящихся в открытом виде в Baxter SIGMA Spectrum Infusion System версии 6.05 (модель 35700BAX) с беспроводным батарейным модулем (WBM) версии 16, что может позволить злоумышленнику получить доступ к хост-сети. Baxter выпустила новую версию SIGMA Spectrum Infusion System, Version 8, которая включает в себя аппаратные и программные изменения.
CVE-2014-5432Baxter SIGMA Spectrum Infusion System версии 6.05 (модель 35700BAX) с беспроводным батарейным модулем (WBM) версии 16 доступна удаленно через порт 22/SSH без аутентификации. Удаленный злоумышленник может получить возможность вносить несанкционированные изменения в конфигурацию WBM, а также выдавать команды для доступа к учетным данным и общим ключам. Baxter утверждает, что эта уязвимость позволяет получить доступ только к функциям и возможностям WBM и что инфузионный насос SIGMA Spectrum не может управляться с WBM. Baxter выпустила новую версию SIGMA Spectrum Infusion System, Version 8, которая включает в себя аппаратные и программные изменения.
CVE-2020-12041Интерфейс командной строки telnet Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31 и v22D24) предоставляет доступ к конфиденциальным данным, хранящимся на WBM, что позволяет временно изменять конфигурацию сетевых настроек WBM и позволяет перезагружать WBM. Временные изменения конфигурации сетевых настроек удаляются после перезагрузки.
CVE-2024-6796В медицинском портале Baxter Connex, выпущенном до 30.08.2024, была обнаружена уязвимость неправильного контроля доступа, которая может позволить не прошедшему проверку подлинности злоумышленнику получить несанкционированный доступ к базе данных портала Connex и/или изменить содержимое.
CVE-2020-12032Baxter ExactaMix EM 2400 версий 1.10, 1.11 и ExactaMix EM1200 версий 1.1, 1.2 хранят данные устройства с конфиденциальной информацией в незашифрованной базе данных. Это может позволить злоумышленнику с сетевым доступом просматривать или изменять конфиденциальные данные, включая PHI.
CVE-2022-26393Baxter Spectrum WBM подвержен атакам format string через обмен сообщениями приложений. Злоумышленник может использовать это для чтения памяти в WBM для доступа к конфиденциальной информации или вызвать отказ в обслуживании (DoS) на WBM.
CVE-2020-12048Phoenix Hemodialysis Delivery System SW 3.36 и 3.40. Устройство Phoenix Hemodialysis не поддерживает шифрование передаваемых данных (например, TLS/SSL) при передаче данных об обработке и назначении по сети между системой Phoenix и инструментом управления данными диализа Exalis. Злоумышленник с доступом к сети может наблюдать конфиденциальные данные об обработке и назначении, отправленные между системой Phoenix и инструментом Exalis.
CVE-2020-12037Baxter PrismaFlex всех версий, PrisMax всех версий до 3.x. Уязвимые устройства не реализуют шифрование передаваемых данных (например, TLS/SSL) при настройке для отправки данных об обработке в PDMS (систему управления данными пациента) или EMR (систему электронных медицинских карт). Злоумышленник может наблюдать конфиденциальные данные, отправленные с устройства.
CVE-2020-12036Baxter PrismaFlex всех версий, PrisMax всех версий до 3.x. Уязвимые устройства не реализуют шифрование передаваемых данных (например, TLS/SSL) при настройке для отправки данных об обработке в PDMS (систему управления данными пациента) или EMR (систему электронных медицинских карт). Злоумышленник может наблюдать конфиденциальные данные, отправленные с устройства.
CVE-2020-12008Системы Baxter ExactaMix EM 2400 версий 1.10, 1.11 и ExactaMix EM1200 версий 1.1, 1.2 используют сообщения в виде открытого текста для передачи информации о заказах в систему ввода заказов. Это может позволить злоумышленнику с сетевым доступом просматривать конфиденциальные данные, включая PHI.
CVE-2014-5431Baxter SIGMA Spectrum Infusion System версии 6.05 (модель 35700BAX) с беспроводным батарейным модулем (WBM) версии 16 содержит жестко закодированный пароль, который предоставляет доступ к основной биомедицинской информации, ограниченным настройкам устройства и конфигурации сети WBM, если он подключен. Жестко закодированный пароль может позволить злоумышленнику с физическим доступом к устройству получить доступ к функциям управления для внесения несанкционированных изменений в биомедицинские настройки, такие как включение и выключение беспроводных соединений и звукового сигнала завершения фазы, который указывает на окончание фазы инфузии. Baxter выпустила новую версию SIGMA Spectrum Infusion System, версию 8, которая включает в себя аппаратные и программные изменения.
CVE-2022-26392Baxter Spectrum WBM (v16, v16D38) и Baxter Spectrum WBM (v17, v17D19, v20D29 - v20D32) в режиме суперпользователя подвержены атакам format string через обмен сообщениями приложений. Злоумышленник может использовать это для чтения памяти в WBM для доступа к конфиденциальной информации.
CVE-2020-12024Baxter ExactaMix EM 2400 версий 1.10, 1.11, 1.13, 1.14 и ExactaMix EM1200 версий 1.1, 1.2, 1.4 и 1.5 не ограничивают доступ к USB-интерфейсу для неавторизованного пользователя с физическим доступом. Успешная эксплуатация этой уязвимости может позволить злоумышленнику с физическим доступом к системе загрузить неавторизованную полезную нагрузку или получить несанкционированный доступ к жесткому диску, загрузив Live USB OS. Это может повлиять на конфиденциальность и целостность системы и подвергнуть риску раскрытие конфиденциальной информации, включая PHI.
CVE-2020-12020Baxter ExactaMix EM 2400 версий 1.10, 1.11 и 1.13 и ExactaMix EM1200 версий 1.1, 1.2 и 1.4 не ограничивают доступ пользователей, не являющихся администраторами, к операционной системе и редактированию сценария запуска приложения. Успешная эксплуатация этой уязвимости может позволить злоумышленнику изменить сценарий запуска от имени пользователя с ограниченным доступом.
CVE-2020-12012Baxter ExactaMix EM 2400 & EM 1200, версии ExactaMix EM2400 версий 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 версий 1.1, 1.2, 1.4, 1.5, Baxter ExactaMix EM 2400 версий 1.10, 1.11 и 1.13 и ExactaMix EM1200 версий 1.1, 1.2 и 1.4 имеют жестко закодированные учетные данные административной учетной записи для приложения ExactaMix. Успешная эксплуатация этой уязвимости может позволить злоумышленнику с физическим доступом получить несанкционированный доступ для просмотра/обновления конфигурации или данных системы. Это может повлиять на конфиденциальность и целостность системы и риск раскрытия конфиденциальной информации, включая PHI.
CVE-2022-26394Baxter Spectrum WBM не выполняет взаимную аутентификацию с хостом сервера шлюза. Это может позволить злоумышленнику выполнить атаку "человек посередине", которая изменяет параметры, приводя к сбою сетевого соединения.
CVE-2020-12035Baxter PrismaFlex всех версий, PrisMax всех версий до 3.x. Устройство PrismaFlex содержит жестко закодированный пароль службы, который предоставляет доступ к биомедицинской информации, настройкам устройства, настройкам калибровки и конфигурации сети. Это может позволить злоумышленнику изменять настройки устройства и калибровку.