CVE-2021-43355
Fresenius Kabi Agilia Connect Infusion System use of client side authentication
Em resumo
O software Fresenius Kabi Vigilant valida dados apenas no navegador do cliente, sem verificação no servidor, permitindo que invasores contornem essas proteções e façam login com privilégios de serviço.
Detalhe técnico
Vulnerabilidade de validação no lado do cliente (CWE-603) na versão 2.0.1.3 do Fresenius Kabi Vigilant Software Suite, onde a autenticação depende unicamente de verificações no navegador. Um invasor com conhecimento de credenciais de conta de serviço pode contornar os controles de JavaScript para autenticar com privilégios elevados, já que o servidor não valida a integridade dos dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) version 2.0.1.3 allows user input to be validated on the client side without authentication by the server. The server should not rely on the correctness of the data because users might not support or block JavaScript or intentionally bypass the client-side checks. An attacker with knowledge of the service user could circumvent the client-side control and login with service privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Produtos afetados
Fresenius Kabi · Vigilant Software Suite (Mastermed Dashboard)Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →