nvd
Bd
Уязвимости
33
Эксплуатируемые
0
Критический
3
Высокий
7
Топ продуктов
Facschorus7Alaris 8015 Pcu4Alaris 8015 Pcu Firmware4Alaris Systems Manager3Performa3Pyxis Anesthesia Station Es3Pyxis Anesthesia Station Es Firmware3Pyxis Medstation Es3Pyxis Medstation Es Firmware3Alaris 8015 Pc Unit2Alaris Gateway Workstation2Alaris Gateway Workstation Firmware2Database Manager2Inoqula\+2Kiestra Tla2Kiestra Wca2Pyxis Ciisafe2Pyxis Ciisafe Firmware2Pyxis Logistics2Pyxis Logistics Firmware2
Топ уязвимостей
CVE-2019-10959BD Alaris Gateway Workstation Versions, 1.1.3 Build 10, 1.1.3 MR Build 11, 1.2 Build 15, 1.3.0 Build 14, 1.3.1 Build 13. Это не влияет на последние версии прошивки 1.3.2 и 1.6.1. Кроме того, следующие продукты, использующие программное обеспечение версии 2.3.6 и ниже, Alaris GS, Alaris GH, Alaris CC, Alaris TIVA, приложение не ограничивает загрузку вредоносных файлов во время обновления прошивки.
CVE-2017-6022Обнаружена проблема с жестко закодированным паролем в Becton, Dickinson and Company (BD) PerformA, версия 2.0.14.0 и более ранние версии, и KLA Journal Service, версия 1.0.51 и более ранние версии. Они используют жестко закодированные пароли для доступа к базе данных BD Kiestra, что может быть использовано для компрометации конфиденциальности ограниченной информации PHI/PII, хранящейся в базе данных BD Kiestra.
CVE-2018-14786Медицинские шприцевые насосы Becton, Dickinson and Company (BD) Alaris Plus (модели Alaris GS, Alaris GH, Alaris CC и Alaris TIVA) версий 2.3.6 и более ранних подвержены уязвимости неправильной аутентификации, когда программное обеспечение не выполняет аутентификацию для функциональности, требующей доказуемой идентификации пользователя, где это может позволить удаленному злоумышленнику получить несанкционированный доступ к различным шприцевым насосам Alaris и повлиять на предполагаемую работу насоса при подключении к терминальному серверу через последовательный порт.
CVE-2022-22767Определенные продукты BD Pyxis™ были установлены с учетными данными по умолчанию и могут в настоящее время все еще работать с этими учетными данными. Могут быть сценарии, когда продукты BD Pyxis™ устанавливаются с теми же учетными данными операционной системы по умолчанию или учетными данными серверов, присоединенных к домену, которые могут совместно использоваться между типами продуктов. В случае эксплуатации злоумышленники могут получить привилегированный доступ к базовой файловой системе и потенциально могут использовать или получить доступ к ePHI или другой конфиденциальной информации.
CVE-2019-13517В Pyxis ES версий с 1.3.4 по 1.6.1 и Pyxis Enterprise Server, с Windows Server версий с 4.4 по 4.12, была выявлена уязвимость, при которой существующие права доступа не ограничиваются в координации с истечением срока действия доступа на основе изменений учетной записи пользователя Active Directory, когда устройство присоединено к домену AD.
CVE-2023-30563В функцию импорта пользователей System Manager можно загрузить вредоносный файл, что приведет к захвату сеанса.
CVE-2022-40263BD Totalys MultiProcessor, версии 1.70 и более ранние, содержат жестко закодированные учетные данные. В случае эксплуатации злоумышленники могут получить доступ, изменить или удалить конфиденциальную информацию, включая электронную защищенную медицинскую информацию (ePHI), защищенную медицинскую информацию (PHI) и личную информацию (PII). Клиенты, использующие BD Totalys MultiProcessor версии 1.70 с Microsoft Windows 10, имеют дополнительные конфигурации усиления операционной системы, которые увеличивают сложность атаки, необходимую для эксплуатации этой уязвимости.
CVE-2022-22765Система BD Viper LT, версии 2.0 и более поздние, содержит жестко закодированные учетные данные. В случае эксплуатации злоумышленники могут получить доступ, изменить или удалить конфиденциальную информацию, включая электронную защищенную медицинскую информацию (ePHI), защищенную медицинскую информацию (PHI) и личную информацию (PII). В системах BD Viper LT версии 4.0 и более поздних используется Microsoft Windows 10 и имеются дополнительные конфигурации усиления операционной системы, которые повышают сложность атаки, необходимую для эксплуатации этой уязвимости.
CVE-2020-25165BD Alaris PC Unit, модель 8015, версии 9.33.1 и более ранние, и BD Alaris Systems Manager, версии 4.33 и более ранние. Уязвимость затронутых продуктов связана с аутентификацией сетевого сеанса в процессе аутентификации между указанными версиями BD Alaris PC Unit и BD Alaris Systems Manager. В случае эксплуатации злоумышленник может выполнить атаку типа «отказ в обслуживании» на BD Alaris PC Unit, изменив заголовки конфигурации передаваемых данных. Атака типа «отказ в обслуживании» может привести к снижению беспроводных возможностей BD Alaris PC Unit, что приведет к ручной эксплуатации PC Unit.
CVE-2022-47376Программное обеспечение Alaris Infusion Central, версии с 1.1 по 1.3.2, может содержать восстанавливаемый пароль после установки. В базе данных не хранятся данные о здоровье пациентов, хотя некоторые сайты могут хранить личные данные.
CVE-2023-30564Alaris Systems Manager не выполняет проверку ввода во время функции импорта устройств.
CVE-2023-30560Конфигурация с PCU может быть изменена без аутентификации с использованием физического подключения к PCU.
CVE-2019-6517BD FACSLyric Research Use Only, Windows 10 Professional Operating System, U.S. and Malaysian Releases, между ноябрем 2017 и ноябрем 2018 и BD FACSLyric IVD Windows 10 Professional Operating System US выпуск не обеспечивает надлежащий контроль доступа пользователей к привилегированным учетным записям, что может привести к несанкционированному доступу к функциям административного уровня.
CVE-2023-30562Файл набора данных GRE в Systems Manager может быть изменен и распространен на PCU.
CVE-2018-10595Уязвимость в ReadA версии 1.1.0.2 и более ранних позволяет авторизованному пользователю с доступом к привилегированной учетной записи в системе BD Kiestra (Kiestra TLA, Kiestra WCA и процессоре образцов InoqulA+) выдавать команды SQL, что может привести к потере или повреждению данных.
CVE-2023-30561Данные, передаваемые между PCU и его модулями, небезопасны. Злоумышленник с физическим доступом может потенциально читать или изменять данные, подключив специально разработанное устройство во время работы инфузии.
CVE-2020-10598В BD Pyxis MedStation ES System v1.6.1 и Pyxis Anesthesia (PAS) ES System v1.6.1 существует уязвимость выхода из ограниченной среды рабочего стола в функциональности киоск-режима затронутых устройств. Специально созданные входные данные могут позволить пользователю выйти из ограниченной среды, что приведет к доступу к конфиденциальным данным.
CVE-2023-30559Пакет обновления прошивки для беспроводной карты не подписан должным образом и может быть изменен.
CVE-2023-29060Операционная система рабочей станции FACSChorus не ограничивает, какие устройства могут взаимодействовать с ее портами USB. В случае эксплуатации злоумышленник, имеющий физический доступ к рабочей станции, может получить доступ к информации о системе и потенциально извлечь данные.
CVE-2022-30277BD Synapsys™ версий 4.20, 4.20 SR1 и 4.30 содержит уязвимость недостаточного истечения срока действия сеанса. В случае эксплуатации злоумышленники могут получить доступ, изменить или удалить конфиденциальную информацию, включая электронную защищенную медицинскую информацию (ePHI), защищенную медицинскую информацию (PHI) и персональную информацию (PII).
CVE-2018-10593Уязвимость в DB Manager версии 3.0.1.0 и более ранних и PerformA версии 3.0.0.0 и более ранних позволяет авторизованному пользователю с доступом к привилегированной учетной записи в системе BD Kiestra (Kiestra TLA, Kiestra WCA и процессоре образцов InoqulA+) выдавать команды SQL, что может привести к повреждению данных.
CVE-2022-22766Жестко закодированные учетные данные используются в определенных продуктах BD Pyxis. В случае эксплуатации злоумышленники могут получить доступ к базовой файловой системе и потенциально могут использовать файлы приложений для получения информации, которая может быть использована для расшифровки учетных данных приложений или получения доступа к электронной защищенной медицинской информации (ePHI) или другой конфиденциальной информации.
CVE-2022-43557Указанные инфузионные насосы BD BodyGuard™ позволяют получить доступ через интерфейс порта RS-232 (последовательный). В случае эксплуатации злоумышленники с физическим доступом, специализированным оборудованием и знаниями могут настраивать или отключать насос. В насосе не хранится никакая электронная защищенная медицинская информация (ePHI), защищенная медицинская информация (PHI) или персональная информация (PII).
CVE-2019-10962BD Alaris Gateway versions, 1.0.13,1.1.3 Build 10,1.1.3 MR Build 11,1.1.5 и 1.1.6. Пользовательский интерфейс веб-браузера на Alaris Gateway Workstation не позволяет злоумышленнику, знающему IP-адрес терминала Alaris Gateway Workstation, получить доступ к информации о состоянии и конфигурации устройства.
CVE-2016-9355Проблема обнаружена в блоке Becton, Dickinson and Company (BD) Alaris 8015 Point of Care (PC), версии 9.5 и более ранних версий, а также версии 9.7. Неавторизованный пользователь с физическим доступом к блоку Alaris 8015 PC может получить незашифрованные учетные данные для аутентификации в беспроводной сети и другие конфиденциальные технические данные, разобрав блок Alaris 8015 PC и получив доступ к флэш-памяти устройства. Более старые версии программного обеспечения блока Alaris 8015 PC, версии 9.5 и более ранние версии, хранят учетные данные для аутентификации в беспроводной сети и другие конфиденциальные технические данные на съемной флэш-памяти затронутого устройства. Возможность извлечения флэш-памяти из затронутого устройства снижает риск обнаружения, позволяя злоумышленнику извлекать сохраненные данные в удобное для него время.