CVSS: 6.1EPSS: 0%CPEs: 10EXPL: 0CVE-2020-12024
https://notcve.org/view.php?id=CVE-2020-12024
Baxter ExactaMix EM 2400 versions 1.10, 1.11, 1.13, 1.14 and ExactaMix EM1200 Versions 1.1, 1.2, 1.4 and 1.5 does not restrict access to the USB interface from an unauthorized user with physical access. Successful exploitation of this vulnerability may allow an attacker with physical access to the system the ability to load an unauthorized payload or unauthorized access to the hard drive by booting a live USB OS. This could impact confidentiality and integrity of the system and risk exposure of sensitive information including PHI. Baxter ExactaMix EM 2400 versiones 1.10, 1.11, 1.13, 1.14 y ExactaMix EM1200 Versiones 1.1, 1.2, 1.4 y 1.5, no restringen el acceso a la interfaz USB de un usuario no autorizado con acceso físico. Una explotación con éxito de esta vulnerabilidad puede permitir a un atacante con acceso físico al sistema la capacidad de cargar una carga útil no autorizada o acceso no autorizado al disco duro mediante el arranque de un Sistema Operativo USB en vivo. • https://www.us-cert.gov/ics/advisories/icsma-20-170-01 • CWE-284: Improper Access Control •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-12036
https://notcve.org/view.php?id=CVE-2020-12036
Baxter PrismaFlex all versions, PrisMax all versions prior to 3.x, The affected devices do not implement data-in-transit encryption (e.g., TLS/SSL) when configured to send treatment data to a PDMS (Patient Data Management System) or an EMR (Electronic Medical Record) system. An attacker could observe sensitive data sent from the device. Baxter PrismaFlex todas las versiones, PrisMax todas las versiones anteriores a 3.x, los dispositivos afectados no implementan cifrado de datos en tránsito (por ejemplo, TLS/SSL) cuando se configuran para enviar datos de tratamiento a un PDMS (Patient Data Management System) o un sistema EMR (Electronic Medical Record). Un atacante podría observar datos confidenciales enviados desde el dispositivo • https://www.us-cert.gov/ics/advisories/icsma-20-170-01 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.9EPSS: 0%CPEs: 4EXPL: 0CVE-2020-12035
https://notcve.org/view.php?id=CVE-2020-12035
Baxter PrismaFlex all versions, PrisMax all versions prior to 3.x, The PrismaFlex device contains a hard-coded service password that provides access to biomedical information, device settings, calibration settings, and network configuration. This could allow an attacker to modify device settings and calibration. Baxter PrismaFlex todas las versiones, PrisMax todas las versiones anteriores a 3.x, el dispositivo PrismaFlex, contiene una contraseña de servicio embebida que proporciona acceso a información biomédica, configuración del dispositivo, configuración de calibración y configuración de red. Esto podría permitir a un atacante modificar la configuración y la calibración del dispositivo • https://us-cert.cisa.gov/ics/advisories/icsma-20-170-02 https://www.us-cert.gov/ics/advisories/icsma-20-170-01 • CWE-287: Improper Authentication CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-12037
https://notcve.org/view.php?id=CVE-2020-12037
Baxter PrismaFlex all versions, PrisMax all versions prior to 3.x, The affected devices do not implement data-in-transit encryption (e.g., TLS/SSL) when configured to send treatment data to a PDMS (Patient Data Management System) or an EMR (Electronic Medical Record) system. An attacker could observe sensitive data sent from the device. Baxter PrismaFlex todas las versiones, PrisMax todas las versiones anteriores a 3.x, los dispositivos afectados no implementan cifrado de datos en tránsito (por ejemplo, TLS/SSL) cuando se configuran para enviar datos de tratamiento a un PDMS (Patient Data Management System) o un sistema EMR (Electronic Medical Record). Un atacante podría observar datos confidenciales enviados desde el dispositivo • https://us-cert.cisa.gov/ics/advisories/icsma-20-170-02 https://www.us-cert.gov/ics/advisories/icsma-20-170-01 • CWE-259: Use of Hard-coded Password CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-12048
https://notcve.org/view.php?id=CVE-2020-12048
Phoenix Hemodialysis Delivery System SW 3.36 and 3.40, The Phoenix Hemodialysis device does not support data-in-transit encryption (e.g., TLS/SSL) when transmitting treatment and prescription data on the network between the Phoenix system and the Exalis dialysis data management tool. An attacker with access to the network could observe sensitive treatment and prescription data sent between the Phoenix system and the Exalis tool. Phoenix Hemodialysis Delivery System SW versiones 3.36 y 3.40, el dispositivo Phoenix Hemodialysis no admite el cifrado de datos en tránsito (por ejemplo, TLS/SSL) al transmitir datos de tratamiento y prescripción en la red entre el sistema Phoenix y la herramienta de gestión de datos de diálisis Exalis. Un atacante con acceso a la red podría observar el tratamiento confidencial y los datos de prescripción enviados entre el sistema Phoenix y la herramienta Exalis • https://www.us-cert.gov/ics/advisories/icsma-20-170-03 • CWE-319: Cleartext Transmission of Sensitive Information •