Hillrom 製 Welch Allyn Cardio 製品における代替パスまたはチャネルを利用した認証回避の脆弱性
| Title |
Hillrom 製 Welch Allyn Cardio 製品における代替パスまたはチャネルを利用した認証回避の脆弱性
|
| Summary |
Hillrom 社が提供する Welch Allyn Cardio 製品には、代替パスまたはチャネルを利用した認証回避 (CWE-288、CVE-2021-43935) の脆弱性が存在します。
|
| Possible impacts |
当該製品は、パスワード指定なしでプロビジョニング済みのアクティブディレクトリ(AD)アカウントの手動での指定を受け入れる可能性があるため、遠隔の第三者が AD アカウントを手動で指定することで、製品にアクセスされる可能性があります。 |
| Solution |
2021年12月10日現在、本脆弱性への対策は提供されていません。 Hillrom 社は次のソフトウェアリリースで本脆弱性を修正したアップデートの提供を予定しています。 アップデート方法に関する詳細は、<a href="https://www.hillrom.com/en/responsible-disclosures/ "target="blank">Hillrom Responsible Disclosures</a> をご確認ください。 [ワークアラウンドを実施する] Hillrom 社は、以下の回避策を推奨しています。 * 関連する Modality Manager Configuration 設定にて、SSO 機能を無効にする(この方法については、使用説明書 (IFU) および/またはサービスマニュアルを参照してください) Hillrom 社は、以下の軽減策も推奨しています。 * 適切なネットワークおよび物理的なセキュリティ制御を適用する * サーバアクセスに対して認証を行う |
| Publication Date |
Dec. 10, 2021, midnight |
| Registration Date |
Dec. 13, 2021, 3:31 p.m. |
| Last Update |
Dec. 13, 2021, 3:31 p.m. |
|
CVSS3.0 : 重要
|
| Score |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| Hillrom |
|
Welch Allyn Connex Cardio バージョン 1.0.0 から 1.1.1
|
|
Welch Allyn Diagnostic Cardiology Suite バージョン 2.1.0
|
|
Welch Allyn H-Scribe Holter Analysis System バージョン 5.01 から 6.4.0
|
|
Welch Allyn Q-Stress Cardiac Stress Testing System バージョン 6.0.0 から 6.3.1
|
|
Welch Allyn R-Scribe Resting ECG System バージョン 5.01 から 7.0.0
|
|
Welch Allyn Vision Express バージョン 6.1.0 から 6.4.0
|
|
Welch Allyn X-Scribe Cardiac Stress Testing System バージョン 5.01 から 6.3.1
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年12月13日] 掲載 |
Dec. 13, 2021, 1:23 p.m. |
NVD Vulnerability Information
CVE-2021-43935
| Summary |
The impacted products, when configured to use SSO, are affected by an improper authentication vulnerability. This vulnerability allows the application to accept manual entry of any active directory (AD) account provisioned in the application without supplying a password, resulting in access to the application as the supplied AD account, with all associated privileges.
|
| Publication Date |
Dec. 16, 2021, 4:15 a.m. |
| Registration Date |
Dec. 16, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 3:30 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:baxter:welch_allyn_connex_cardio:*:*:*:*:*:*:*:* |
1.0.0 |
1.1.1 |
|
|
| cpe:2.3:a:baxter:welch_allyn_diagnostic_cardiology_suite:2.1.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:baxter:welch_allyn_rscribe_resting_ecg_system:*:*:*:*:*:*:*:* |
5.01 |
7.0.0 |
|
|
| cpe:2.3:a:baxter:welch_allyn_vision_express_holter_analysis_system:*:*:*:*:*:*:*:* |
6.1.0 |
6.4.0 |
|
|
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:baxter:welch_allyn_hscribe_holter_analysis_system_firmware:*:*:*:*:*:*:*:* |
5.01 |
6.4.0 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:baxter:welch_allyn_hscribe_holter_analysis_system:-:*:*:*:*:*:*:* |
| Configuration3 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:baxter:welch_allyn_q-stress_cardiac_stress_testing_system_firmware:*:*:*:*:*:*:*:* |
6.0.0 |
6.3.1 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:baxter:welch_allyn_q-stress_cardiac_stress_testing_system:-:*:*:*:*:*:*:* |
| Configuration4 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:baxter:welch_allyn_xscribe_cardiac_stress_testing_system_firmware:*:*:*:*:*:*:*:* |
5.01 |
6.3.1 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:baxter:welch_allyn_xscribe_cardiac_stress_testing_system:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List