CVE-2021-43355
Fresenius Kabi Agilia Connect Infusion System use of client side authentication
En resumen
El software Fresenius Kabi Vigilant valida datos únicamente en el navegador del cliente sin verificación en el servidor, permitiendo que atacantes eludan estas protecciones e inicien sesión con privilegios de servicio.
Detalle técnico
Vulnerabilidad de validación en el lado del cliente (CWE-603) en la versión 2.0.1.3 de Fresenius Kabi Vigilant Software Suite, donde la autenticación se basa solo en verificaciones en el navegador. Un atacante con conocimiento de credenciales de cuenta de servicio puede eludir los controles de JavaScript para autenticarse con privilegios elevados, ya que el servidor no valida la integridad de los datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) version 2.0.1.3 allows user input to be validated on the client side without authentication by the server. The server should not rely on the correctness of the data because users might not support or block JavaScript or intentionally bypass the client-side checks. An attacker with knowledge of the service user could circumvent the client-side control and login with service privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Productos afectados
Fresenius Kabi · Vigilant Software Suite (Mastermed Dashboard)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →