Описание
Уязвимость функции getAllFolderContents() веб-приложения Common Service Desktop систем ультразвуковой диагностики GE HealthCare связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор
GE Healthcare
Наименование ПО
Venue Go R2
Venue R1
Venue R2
Voluson Expert 22
Voluson Expert 18
Voluson Expert 16
Voluson SWIFT+
Voluson SWIFT
Voluson SWIFT BT24
Voluson SWIFT+ BT24
Invenia ABUS
Vivid E95
Vivid E90
Vivid E80
Vivid S60N
Vivid S70N
Vivid T8
Vivid T9
Vivid iQ
LOGIQ E10s
LOGIQ E10
LOGIQ Fortis
Voluson Expert 22 BT24
Voluson Expert 18 BT24
Voluson Expert 16 BT24
LOGIQ e R7 (9.2.x)
LOGIQ e R7 (9.1.x)
LOGIQ He
LOGIQ e R8
LOGIQ e R9
Venue Fit R4
Venue Go R4
Venue R4
Venue R3
Venue Go R3
Venue Fit R3
Versana Essential R2
Versana Premier R1
Versana Premier R2
Versana Active R1
Versana Balance R1
Versana Balance R2
Версия ПО
- (Venue Go R2)
- (Venue R1)
- (Venue R2)
- (Voluson Expert 22)
- (Voluson Expert 18)
- (Voluson Expert 16)
- (Voluson SWIFT+)
- (Voluson SWIFT)
- (Voluson SWIFT BT24)
- (Voluson SWIFT+ BT24)
от 2.0 до 2.2.7 включительно (Invenia ABUS)
204 (Vivid E95)
206 (Vivid E95)
206 (Vivid E90)
204 (Vivid E90)
204 (Vivid E80)
206 (Vivid E80)
206 (Vivid S60N)
206 (Vivid S70N)
204 (Vivid S70N)
204 (Vivid S60N)
до 206 включительно (Vivid T8)
до 206 включительно (Vivid T9)
до 206 включительно (Vivid iQ)
до 204.117 (Vivid iQ)
до 204.117 (Vivid T8)
до 204.117 (Vivid T9)
до 205.117 (Vivid T9)
до 205.117 (Vivid T8)
до 205.117 (Vivid iQ)
до R3.2.0 (LOGIQ E10s)
до R3.2.0 (LOGIQ E10)
до R3.2.0 (LOGIQ Fortis)
ext 0 (Voluson Expert 22 BT24)
ext 0 (Voluson Expert 18 BT24)
ext 0 (Voluson Expert 16 BT24)
до R9.2.5 включительно (LOGIQ e R7 (9.2.x))
до R9.1.4 включительно (LOGIQ e R7 (9.1.x))
до R9.3.2 включительно (LOGIQ He)
до R10.1.3 включительно (LOGIQ e R8)
до R11.0.3 включительно (LOGIQ e R9)
до 4.3 (Venue Fit R4)
до 4.3 (Venue Go R4)
до 4.3 (Venue R4)
до 3.3 включительно (Venue R3)
до 3.3 включительно (Venue Go R3)
до 3.3 включительно (Venue Fit R3)
до 2.0.3 включительно (Versana Essential R2)
до 1.2.8 включительно (Versana Premier R1)
до 1.0.16 включительно (Versana Premier R1)
до 2.1.8 включительно (Versana Premier R2)
до 1.2.2 включительно (Versana Active R1)
до 1.0.9 включительно (Versana Active R1)
до 1.2.3 включительно (Versana Balance R1)
до 1.0.9 включительно (Versana Balance R1)
до 2.0.7 включительно (Versana Balance R2)
Тип ПО
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Компенсирующие меры:
- ограничение возможности подключения к устройствам через SMB по 2638 TCP-порту (порт сервера базы данных SQL Anywhere);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- сегментирование сети для ограничения возможности удалённого доступа к медицинскому оборудованию.
Рекомендации производителя:
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/security
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 30%
0.0011
Низкий
7.7 High
CVSS3
6.6 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.7
nvd
больше 1 года назад
Path traversal vulnerability in “getAllFolderContents” function of Common Service Desktop, a GE HealthCare ultrasound device component
CVSS3: 7.7
github
больше 1 года назад
Path traversal vulnerability in “getAllFolderContents” function of Common Service Desktop, a GE HealthCare ultrasound device component
EPSS
Процентиль: 30%
0.0011
Низкий
7.7 High
CVSS3
6.6 Medium
CVSS2