headless 曰く、

旭化成グループ ZOLL Medical の除細動器管理ソフトウェア ZOLL Defibrillator Dashboard で見つかった6件の脆弱性が公表されている(ICSMA-21-161-01、 The Registerの記事)。

CISAによる深刻度評価が最も高い(CVSS v3: 9.9) CVD-2021-27489は、管理者以外のユーザーがWebアプリケーションを通じて悪意あるファイルをアップロード可能というものだ。攻撃者はアップロードしたファイルを利用してリモートからの任意コード実行が可能になる。

このほかの脆弱性は、暗号鍵のハードコード(CVE-2021-27481)、認証情報の平文保存(CVE-2021-27487)、権限の低いユーザーが悪意あるスクリプトを含むパラメーターをWebアプリケーションにインジェクトすることで高い権限のユーザーに実行させることが可能(CVE-2021-27479)、攻撃者が認証情報をWebブラウザーから取得できる状態でのパスワード保存をユーザーに許可(CVE-2021-27485)、不適切なファイルシステムのパーミッション設定により低い権限のユーザーが管理者権限に昇格可能(CVE-2021-27483)、といったものだ。

脆弱性はすべて Defibrillator Dashboard バージョン2.2以降で修正されており、最新版への更新が推奨されている。