Múltiples vulnerabilidades en productos de Becton, Dickinson and Company
INCIBE-2023-0279
Las siguientes versiones de BD Alaris están afectadas:
- BD Alaris Point-of-Care Unit (PCU) modelo 8015: versiones 12.1.3 y anteriores;
- BD Alaris Guardrails Editor: versiones 12.1.2 y anteriores;
- BD Alaris Systems Manager: versiones 12.3 y anteriores;
- CQI Reporter: versiones v10.17 y anteriores;
- Calculation Services: versiones 1.0 y anteriores.
BD ha reportado 8 vulnerabilidades, 2 de las cuales son de severidad baja, 5 de severidad media, y 1 de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante comprometer datos sensibles, secuestrar una sesión, modificar el firmware o realizar cambios en la configuración del sistema.
BD recomienda aplicar distintas medidas de mitigación para reducir los riesgos asociados a las vulnerabilidades reportadas. Para más información, consultar el enlace en las referencias.
La vulnerabilidad de severidad alta, podría permitir a un atacante cargar un archivo malicioso en una función de importación de usuarios de System Manager, lo que podría provocar el secuestro de la sesión. Se ha asignado el identificador CVE-2023-30563 para esta vulnerabilidad.
Las vulnerabilidades de severidad media y baja tienen asignados los siguientes identificadores respectivamente: CVE-2023-30559, CVE-2023-30560, CVE-2023-30561, CVE-2023-30562, CVE-2023-30564, CVE-2023-30565.