Philips ha publicado un aviso de seguridad sobre una vulnerabilidad que afecta a varios de sus productos, que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
La vulnerabilidad fue identificada como CVE-2022-21849 de severidad crítica, con una puntuación asignada de 9.8. Esta se debe a una incorrecta validación de entrada en el componente IKE Extension de Microsoft Windows. Un atacante remoto no autenticado podría enviar una solicitud especialmente diseñada, logrando realizar ejecución remota de código en el sistema afectado.
Los productos Philips afectados son:
- CareEvent (C.0x).
- IntelliBridge Enterprise (B.13-B.15).
- IntelliSpace Portal Server (11.0/12.0).
- FocalPoint (A.0/A.01).
- IntelliSpace Portal Enterprise (12.0).
- PICiX (B.0x/C.0x).
- Data Warehouse Connect.
Philips aún no ha publicado una actualización de seguridad para subsanar dicha vulnerabilidad, actualmente está supervisando las actualizaciones de seguridad del sistema operativo afectado. Por su parte, Microsoft ya publicó una actualización de seguridad para subsanar esta vulnerabilidad como parte de su actualización de seguridad de enero.
Referencias: