JVNVU#99643588
Philips製MRIにおける複数の脆弱性

Philips社が提供するMRIには、複数の脆弱性が存在します。

• MRI 1.5T Version 5.x.x
• MRI 3T Version 5.x.x

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 不適切なアクセス制御（CWE-284） - CVE-2021-3083

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 6.2

• 正しくない所有権割り当て（CWE-708） - CVE-2021-3085

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 6.2

• 情報漏えい（CWE-200） - CVE-2021-3084

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 6.2

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 第三者により、リソースにアクセスされる - CVE-2021-3083
• 意図しない所有者に対して、リソースを割り当てられる - CVE-2021-3085
• 第三者により、機微な情報を窃取される - CVE-2021-3084

2021年11月10日現在、本脆弱性への対策は提供されていません。
Philips社は2022年10月までにリリースを予定しています。

ワークアラウンドを実施する
Philips社は、以下のワークアラウンドを推奨しています。

• 物理的および論理的な制御を含め、Philips社が承認した仕様の範囲内で、Philips社が展開およびサポートするすべての製品を操作する
• 許可された人のみが製品を操作する
• InCenterで入手可能なPhilips社の取扱説明書（IFU）を参照する