CVE-2020-25150

B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus

CVSS 7.6 HIGHEPSS 1.4%CWE-23

Em resumo

Uma falha nos equipamentos médicos da B. Braun permite que alguém com acesso de serviço faça upload de arquivos prejudiciais explorando como o sistema processa caminhos de arquivo, podendo executar qualquer comando no dispositivo.

Detalhe técnico

Uma vulnerabilidade de travessia de caminho relativo (CWE-23) no SpaceCom L81/U61 e Data module compactplus A10/A11 da B. Braun permite que usuários de serviço autenticados façam upload de arquivos arbitrários via arquivos tar elaborados, possibilitando execução de comandos arbitrários nos dispositivos médicos afetados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A relative path traversal attack in the B. Braun Melsungen AG SpaceCom Version L81/U61 and earlier, and the Data module compactplus Versions A10 and A11 allows attackers with service user privileges to upload arbitrary files. By uploading a specially crafted tar file an attacker can execute arbitrary commands.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

Produtos afetados

B. Braun Melsungen AG · Battery pack with Wi-Fi B. Braun Melsungen AG · Data module compactplus B. Braun Melsungen AG · SpaceCom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.bbraun.com/en/products-and-therapies/services/b-braun-vulnerability-disclosure-policy/security-advisory.html https://www.cisa.gov/uscert/ics/advisories/icsma-20-296-02