Vulnérabilités dans des produits B. Braun

Plusieurs vulnérabilités ont été découvertes dans des produits médicaux B. Braun. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire, une fuite d’informations ou une atteinte à l’intégrité des données. 

CVE-2020-25172 [Score CVSS v3 : 8.6] : Une vulnérabilité de type “path traversal” a été découverte dans B. Braun OnlineSuite. Elle peut permettre à un attaquant distant et non authentifié de téléverser et télécharger des fichiers arbitraires.

CVE-2020-25174 [Score CVSS v3 : 8.4] : Une vulnérabilité de type “corruption DLL” a été découverte dans B. Braun OnlineSuite. Elle peut permettre à un attaquant local de provoquer une exécution de code arbitraire avec des privilèges élevés. 

CVE-2020-25158 [Score CVSS v3 : 7.6] : Une vulnérabilité de type “reflected XSS” a été découverte dans B. Braun Melsungen AG SpaceCom et Data module compactplus. Elle peut permettre à un attaquant distant d’injecter du script web arbitraire.

Informations
+

Risques

  • Exécution de code arbitraire

  • Fuite d’informations

  • Atteinte à l’intégrité des données

Criticité

  • Score CVSS v3 : 8.6 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • B. Braun OnlineSuite versions AP 3.0 et antérieures

  • SpaceCom versions U61 et antérieures (Etats-Unis), L81 et antérieures (en dehors des Etats-Unis)

  • Battery pack with Wi-Fi versions U61 et antérieures (Etats-Unis), L81 et antérieures (en dehors des Etats-Unis)

  • Data module compactplus, versions A10 et A11

CVE

  • L’ensemble des CVE est disponible dans les bulletins mentionnés dans la partie Références


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement