JVNVU#95708748
複数のDarioHealth製品における複数の脆弱性

DarioHealthが提供する複数の製品には、複数の脆弱性が存在します。

• USB-C Blood Glucose Monitoring System Starter Kit Android Applications 5.8.7.0.36およびそれ以前のバージョン
• Dario Application Database and Internet-based Server Infrastructure すべてのバージョン

DarioHealthが提供する複数の製品には、次の複数の脆弱性が存在します。

• 認可されていないActorへの個人情報の漏えい（CWE-359）
  • CVE-2025-20060
• ログ出力内容の不十分な無害化（CWE-117）
  • CVE-2025-23405
• アクセス制御の仕組みのない場所への機微な情報の保存（CWE-921）
  • CVE-2025-24843
• 重要な情報の平文送信（CWE-319）
  • CVE-2025-24849
• クロスサイトスクリプティング（CWE-79）
  • CVE-2025-20049
• 機微な情報を含むCookieへHttpOnly属性を付けていない（CWE-1004）
  • CVE-2025-24318
• 互換性のないポリシーによる機微な情報の漏えい（CWE-213）
  • CVE-2025-24316

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• クロスユーザーの個人識別情報（PII）および健康情報を漏えいされる（CVE-2025-20060）
• 認証されていないログによって、インシデント対応の取り組みに影響を与えたり、インジェクション攻撃のリスクにさらされたりする（CVE-2025-23405）
• ファイル操作によって、当該製品の安定性や機密性、完全性、信頼性および保存されたデータの正当性が侵害される（CVE-2025-24843）
• 機微なデータを操作されたり、漏えいされたりする（CVE-2025-24849）
• 機微な情報を取得される（CVE-2025-20049）
• セッション全体が侵害される（CVE-2025-24318）
• 開発環境の情報が公開されていることにより、安全でない機能を利用される（CVE-2025-24316）

アップデートする
DarioHealthのAndroidモバイルアプリケーションを最新版にアップデートしてください。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、ICS Medical Advisoryの情報を確認するか、開発者にお問い合わせください。