CVSS: 5.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-16214 – Philips Patient Monitoring Devices Improper Neutralization of Formula Elements in a CSV File
https://notcve.org/view.php?id=CVE-2020-16214
In Patient Information Center iX (PICiX) Versions B.02, C.02, C.03, the software saves user-provided information into a comma-separated value (CSV) file, but it does not neutralize or incorrectly neutralizes special elements that could be interpreted as a command when the file is opened by spreadsheet software. Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, Monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El software guarda la información proporcionada por el usuario en un archivo de valores separados por comas (CSV), pero no neutraliza o neutraliza incorrectamente elementos especiales que podrían interpretarse como un comando cuando el archivo es abierto por un software de hoja de cálculo • https://us-cert.cisa.gov/ics/advisories/icsma-20-254-01 https://www.philips.com/productsecurity • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-16218 – Philips Patient Monitoring Devices Cross-site Scripting
https://notcve.org/view.php?id=CVE-2020-16218
In Patient Information Center iX (PICiX) Versions B.02, C.02, C.03, the software does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output that is then used as a webpage and served to other users. Successful exploitation could lead to unauthorized access to patient data via a read-only web application. Patient Information Center iX (PICiX) Versiones B.02, C.02, C.03, PerformanceBridge Focal Point Versión A.01, Monitores de paciente IntelliVue MX100, MX400-MX850 y MP2-MP90 Versiones N y anteriores, IntelliVue X3 y X2 Versiones N y anteriores. El software no neutraliza o neutraliza incorrectamente la entrada controlable por el usuario antes de colocarla en la salida que luego es usado como una página web y es servido a otros usuarios. La explotación con éxito podría conllevar a un acceso no autorizado a los datos del paciente por medio de una aplicación web de solo lectura • https://us-cert.cisa.gov/ics/advisories/icsma-20-254-01 https://www.philips.com/productsecurity • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 1CVE-2020-11618
https://notcve.org/view.php?id=CVE-2020-11618
THOMSON THT741FTA 2.2.1 and Philips DTR3502BFTA DVB-T2 2.2.1 set-top boxes have their TELNET service hardcoded to start on boot, which allows an attacker on the local network to achieve root access via the TELNET protocol. Los decodificadores THOMSON THT741FTA versión 2.2.1 y Philips DTR3502BFTA DVB-T2 versión 2.2.1, presentan su servicio TELNET embebido para iniciarse en el arranque, permitiendo a un atacante en la red local alcanzar acceso root por medio del protocolo TELNET • https://decoded.avast.io/vladislaviliushin/flaws-in-dvb-t2-set-top-boxes-exposed •
CVSS: 5.9EPSS: 0%CPEs: 4EXPL: 1CVE-2020-11617
https://notcve.org/view.php?id=CVE-2020-11617
The RSS application on THOMSON THT741FTA 2.2.1 and Philips DTR3502BFTA DVB-T2 2.2.1 set-top boxes doesn't validate the SSL certificates of RSS servers, which allows a man-in-the-middle attacker to modify the data delivered to the client. La aplicación RSS en los decodificadores THOMSON THT741FTA versión 2.2.1 y Philips DTR3502BFTA DVB-T2 versión 2.2.1, no valida los certificados SSL de los servidores RSS, permitiendo a un atacante de tipo man-in-the-middle modificar los datos entregados a el cliente • https://decoded.avast.io/vladislaviliushin/flaws-in-dvb-t2-set-top-boxes-exposed • CWE-295: Improper Certificate Validation •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2020-16239
https://notcve.org/view.php?id=CVE-2020-16239
Philips SureSigns VS4, A.07.107 and prior. When an actor claims to have a given identity, the software does not prove or insufficiently proves the claim is correct. Philips SureSigns versiones VS4, A.07.107 y anteriores. Cuando un actor afirma tener una identidad determinada, el software no prueba o prueba insuficientemente que la afirmación sea correcta. • https://us-cert.cisa.gov/ics/advisories/icsma-20-233-01 • CWE-287: Improper Authentication •