Post #4458

Реанимация В немецком медицинском ПО B.Braun OnlineSuite нашли сразу три критические дыры, одна из которых получила максимальный балл CVSS 10.0 за удаленное выполнение кода. Проблемы затронули OnlineSuite AP 3.0 и более ранние версии, которые используются в больницах по всему миру для управления инфузионными насосами. Самая серьезная уязвимость позволяет злоумышленникам выполнять произвольный код с максимальными привилегиями через Expression Language Injection. Вторая дыра дает возможность читать любые файлы на сервере благодаря обходу путей. Третья проблема оказалась особенной. В системе обнаружили зашитый админский аккаунт, который нельзя ни удалить, ни отключить. Хотя напрямую на пациентов это не влияет, серверная инфраструктура больниц оказалась под серьезной угрозой. B.Braun выпустила патч, но учитывая масштабы использования системы в медучреждениях, процесс обновления может затянуться. НеКасперский