Introducción
Philips ha publicado un aviso de seguridad que contiene información sobre 13 vulnerabilidades: 1 de ellas crítica, 8 altas y el resto medias. La explotación de estas vulnerabilidades podría permitir el acceso al sistema, modificar datos y ejecutar código, entre otros.
Esta información fue descubierta por los investigadores TAS Health NZ y Camiel van Es.[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2017-17485 – Deserialización de datos no confiables (CWE-502):
El componente de un producto externo deserializa datos que no son de confianza sin verificar suficientemente que los datos resultantes serán válidos. Esto podría ser empleado por un atacante para enviar una ingesta json maliciosa, lo que le permitiría omitir la lista negra y ver o modificar datos, obtener acceso al sistema, realizar la ejecución de código o instalar software no autorizado.
- CVE-2017-17485 – Deserialización de datos no confiables (CWE-502):
- La serie de productos afectados es:
- Philips Vue PACS: versiones anteriores a 12.2.8.410.
Recomendaciones
Actualizar Philips Vue PACS a las versiones 12.2.8.410 o posteriores.
Referencias