关键漏洞信息 1. 漏洞概述 CVSS v3 基本分数: 6.5 注意: 低技能即可利用 厂商: Philips 设备: Philips Interventional WorkSpace, Category Tools/Dynamic Coronary Roadmap/StentBoost Live, VowStream 漏洞类型: OS Command Injection 2. 影响的产品 Interventional WorkSpace (版本: 1.3.2, 1.4.0, 1.4.1, 1.4.3, 1.4.5) Category Tools/Dynamic Coronary Roadmap/StentBoost Live (版本: 1.0) VowStream (版本: 6.2X/1.10) 3. 漏洞概述 CWE: CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CVE编号: CVE-2020-27298 CVSS v3 基本分数: 6.5 CVSS 向量字符串: AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 4. 缓解措施 Philips 发布了软件补丁以解决此漏洞,并将安排服务活动以影响用户进行修复。 用户应更改 PMI 密码。 实施物理安全措施,限制或控制对关键系统的访问。 遵循最小权限原则,仅允许授权人员访问系统。 应用纵深防御策略。 禁用不必要的帐户和服务。 5. 背景 关键基础设施部门: 医疗保健和公共卫生 部署国家/地区: 全球 公司总部位置: 荷兰