NVD Vulnerability Detail
Search Exploit, PoC
CVE-2021-27456
Summary

Philips Gemini PET/CT family software stores sensitive information in a removable media device that does not have built-in access control.

Publication Date March 24, 2022, 5:15 a.m.
Registration Date March 24, 2022, 10 a.m.
Last Update Nov. 21, 2024, 2:58 p.m.
CVSS3.1 : LOW
スコア 2.4
Vector CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
攻撃元区分(AV) 物理
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
CVSS2.0 : LOW
Score 2.1
Vector AV:L/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882300_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882300:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882160_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882160:-:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882400_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882400:-:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882390_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882390:-:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882410_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882410:-:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882412_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882412:-:*:*:*:*:*:*:*
Configuration7 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882473_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882473:-:*:*:*:*:*:*:*
Configuration8 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882470_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882470:-:*:*:*:*:*:*:*
Configuration9 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882471_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882471:-:*:*:*:*:*:*:*
Configuration10 or higher or less more than less than
cpe:2.3:o:phillips:gemini_882476_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:gemini_882476:-:*:*:*:*:*:*:*
Configuration11 or higher or less more than less than
cpe:2.3:o:phillips:truflight_882438_firmware:-:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:phillips:truflight_882438:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Philips 製 Gemini PET/CT Family に機密データへのアクセス制限不備の脆弱性
Title Philips 製 Gemini PET/CT Family に機密データへのアクセス制限不備の脆弱性
Summary

Philips 社が提供する Gemini PET/CT Family は PET/CT 検査に使用される機材の製品群です。当該製品には、アクセス制限がないリムーバブルメディアに患者情報などの機微な情報が保存される脆弱性 (CWE-921) が存在します。

Possible impacts 当該製品への物理的なアクセスが可能な第三者によって、機微な情報を窃取される可能性があります。
Solution

[ワークアラウンドを実施する] 2021年3月26日現在、本脆弱性に対するアップデートは提供されていません。 Philips 社は本脆弱性に対して、次のワークアラウンドを公開しています。  * ソフトウェア、ソフトウェア構成、システムサービス、セキュリティ構成など、Philips 社が承認した仕様の範囲内で、当該製品を利用する  * スキャナーとリムーバブルメディアへの物理的なアクセスを許可された担当者のみに制限する

Publication Date March 26, 2021, midnight
Registration Date March 29, 2021, 2:34 p.m.
Last Update March 29, 2021, 2:34 p.m.
Affected System
フィリップス
882160 Gemini Dual 
882300 Gemini 16 Slice 
882390 Gemini GXL 6 Slice 
882400 Gemini GXL 10 Slice 
882410 Gemini GXL 16 Slice 
882412 GEMINI LXL 
882438 TruFlight Select PET/CT 
882470 Gemini TF 16 w/ TOF Performance 
882471 Gemini TF 64 w/ TOF Performance 
882473 Gemini TF Ready 
882476 Gemini TF Big Bore 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2021年03月29日]
  掲載		 March 29, 2021, 2:34 p.m.