安全研究

漏洞預警 | 飛(fēi)利浦Vue PACS多個高(gāo)危漏洞

0x00  漏洞編号

  • CVE-2021-33020

  • CVE-2021-27501

  • CVE-2021-33018

  • CVE-2021-27497

  • CVE-2021-27493

  • CVE-2021-33024

  • CVE-2021-33022


0x01 危險等級

  • 高(gāo)危


0x02 漏洞概述

飛(fēi)利浦Vue PACS屬于公共醫(yī)療健康領域的基礎設施,該平台中存在多個易利用(yòng)的高(gāo)危漏洞。



0x03 漏洞詳情
CVE-2021-33020
漏洞類型:安全配置
簡述:仍在使用(yòng)過期的安全密鑰,導緻攻擊者可以利用(yòng)以往被洩漏的密鑰發起攻擊。

CVE-2021-27501
漏洞類型:安全配置
簡述:代碼未遵循代碼安全規則,導緻攻擊者可以利用(yòng)代碼邏輯錯誤對(duì)平台實施攻擊。


CVE-2021-33018
漏洞類型:安全配置
簡述:仍在使用(yòng)存在安全隐患的加密算(suàn)法,導緻攻擊者可以利用(yòng)加密算(suàn)法的漏洞對(duì)平台發起攻擊。

CVE-2021-27497
漏洞類型:安全防護缺陷
簡述:在安全性上(shàng)存在重大(dà)隐患,未使用(yòng)充分的安全措施來(lái)保障平台的正确運行。

CVE-2021-27493
漏洞類型:數據未校驗
簡述:在接受數據時(shí),未針對(duì)數據進行嚴格的字段校驗,導緻不受信任、危險的數據在平台内部流轉。


CVE-2021-33024
漏洞類型:身份信息未加密
簡述:在傳輸以及存儲身份憑證時(shí),未經過加密。導緻攻擊者通過嗅探、攔截網絡流量可直接獲得平台相關身份憑據。

CVE-2021-33022
漏洞類型:明(míng)文(wén)傳輸
簡述:在通信過程中以明(míng)文(wén)形式傳輸敏感或安全關鍵數據,未經授權的攻擊者可以在互聯網中嗅探到(dào)該數據中的詳細信息。

0x04 影響版本

  • Vue PACS 12.2.x.x

  • Vue MyVue 12.2.x.x

  • Vue Speech 12.2.x.x

  • Vue Motion 12.2.1.5


0x05 修複建議(yì)

官方暫未發布漏洞修複版本,建議(yì)用(yòng)戶關注官網動态:

https://www.philips.com.cn/

Copyright © 2019 All Rights Reserved Designed
杭州安存網絡科技有限公司