NVD Vulnerability Detail

CVE-2014-5406

Summary	The Hospira LifeCare PCA Infusion System before 7.0 does not validate network traffic associated with sending a (1) drug library, (2) software update, or (3) configuration change, which allows remote attackers to modify settings or medication data via packets on the (a) TELNET, (b) HTTP, (c) HTTPS, or (d) UPNP port. NOTE: this issue might overlap CVE-2015-3459.
Publication Date	July 7, 2015, 4:59 a.m.
Registration Date	Jan. 26, 2021, 3:14 p.m.
Last Update	Nov. 21, 2024, 11:11 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:hospira:lifecare_pcainfusion_firmware::::::::			5.0
execution environment
1	cpe:2.3:h:hospira:lifecare_pca3:-:::::::*
2	cpe:2.3:h:hospira:lifecare_pca5:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm	Third Party Advisory US Government Resource
2	http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm	Third Party Advisory US Government Resource
3	https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01	Third Party Advisory US Government Resource
4	https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01	Third Party Advisory US Government Resource
5	https://xs-sniper.com/blog/2015/06/08/hospira-plum-a-infusion-pump-vulnerabilities/
6	https://xs-sniper.com/blog/2015/06/08/hospira-plum-a-infusion-pump-vulnerabilities/

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-345	データの信頼性についての不十分な検証	https://cwe.mitre.org/data/definitions/345.html

JVN Vulnerability Information

Hospira LifeCare PCA Infusion System における設定を変更される脆弱性

Title	Hospira LifeCare PCA Infusion System における設定を変更される脆弱性
Summary	The Hospira LifeCare PCA Infusion System は、(1) 薬品のライブラリ、(2) ソフトウェアのアップデート、または (3) 設定の変更の送信に関連付けられたネットワークトラフィックを検証しないため、設定または投薬データを変更される脆弱性が存在します。本脆弱性は CVE-2015-3459 と重複している可能性があります。補足情報 : CWE による脆弱性タイプは、CWE-345: Insufficient Verification of Data Authenticity (データの信頼性についての不十分な検証) と識別されています。 http://cwe.mitre.org/data/definitions/345.html
Possible impacts	第三者により、(a) TELNET、(b) HTTP、(c) HTTPS、または (d) UPNP ポート上のパケットを介して、設定または投薬データを変更される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 22, 2014, midnight
Registration Date	July 9, 2015, 2:17 p.m.
Last Update	July 9, 2015, 2:17 p.m.

Affected System

ホスピーラ

LifeCare PCA Infusion System ファームウェア 7.0 未満

LifeCare PCA3

LifeCare PCA5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-5406	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5406
National Vulnerability Database (NVD)
2	CVE-2014-5406	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5406

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Hospira
1	LifeCare PCA Infusion System	http://www.hospira.com/en/products_and_services/infusion_pumps/Lifecare/

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-15-125-01B	https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01B
関連文書
2	Hospira Plum A+ Infusion Pump Vulnerabilities	https://xs-sniper.com/blog/2015/06/08/hospira-plum-a-infusion-pump-vulnerabilities/
3	Vulnerabilities of Hospira LifeCare PCA3 and PCA5 Infusion Pump Systems: FDA Safety Communication	http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm446809.htm

Change Log

No	Changed Details	Date of change
0	[2015年07月09日] 掲載	Feb. 17, 2018, 10:37 a.m.