- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0

Многие баги присутствуют в сторонних компонентах, но все они влияют на продукцию Philips Clinical Collaboration Platform Portal (Vue PACS), включая MyVue, Vue Speech и Vue Motion. Так, из 15 найденных уязвимостей только 7 относятся непосредственно к продукции Philips, а остальные баги затрагивают такие сторонние компоненты, как Redis, 7-Zip, Oracle Database, jQuery, Python и Apache Tomcat.
Четыре уязвимости оцениваются как критические, а еще четыре имеют высокий рейтинг опасности. Недостатки в сторонних компонентах были выявлены в период с 2012 по 2020 год, но все проблемы, связанные с самими продуктами Philips, получили идентификаторы CVE в 2021 году.
Эксперты говорят, что эти уязвимости связаны с неправильной проверкой вводимых данных, различными ошибками памяти, некорректной аутентификацией, небезопасной и неправильной инициализацией ресурсов, использованием криптографических ключей с истекшим сроком действия, использованием слабых криптографических алгоритмов, некорректным использованием механизмов защиты, проблемами целостности данных, XSS, ненадежной защитой учетных данных и передачей конфиденциальной информации открытым текстом.
По данным экспертов, некоторые из этих уязвимостей уже исправлены, но патчи для других будут доступны не ранее первого квартала 2022 года.«Успешная эксплуатация этих уязвимостей может позволить неавторизованному лицу или процессу перехватить, просмотреть или изменить данные, получить доступ к системе, выполнить произвольный код, установить неавторизованное программное обеспечение или повлиять на целостность данных таким образом, что это отрицательно скажется на конфиденциальности, целостности и доступности всей системы», — говорят в CISA.