公開日:2023/03/03 最終更新日:2023/03/03

JVNVU#99322074
Medtronic製臨床医アプリにおける未検証のパスワード変更の脆弱性

概要

Medtronicが提供する臨床医アプリには、未検証のパスワード変更の脆弱性が存在します。

影響を受けるシステム

  • Micro Clinician (A51200)
  • InterStim X Clinician (A51300)
当該アプリは、スマートプログラマと呼ばれる携帯型モバイルデバイスにインストールされています。

詳細情報

Medtronicが提供する臨床医アプリには、次の脆弱性が存在します。

  • 未検証のパスワード変更 (CWE-620) - CVE-2023-25931

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該アプリがインストールされている携帯型モバイルデバイスに物理的にアクセスできる第三者によって、パスワードがデフォルトにリセットされ、当該アプリを不正に制御される

対策方法

アップデートする
開発者は、アップデートを提供しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Medtronic Pelvic Health InterStim™ Micro and InterStim X™ Clinician Application Security Update

参考情報

  1. ICS Medical Advisory | ICSMA-23-061-01
    Medtronic Micro Clinician and InterStim Apps

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia