Almacenamiento de información sensible sin cifrar en ARC Informatique PcVue
Fecha de publicación 24/08/2022
Importancia
3 - Media
Recursos Afectados
Configuración del servicio web PcVue OAuth, versiones 12 y 15.
Descripción
Esta vulnerabilidad de severidad media en PcVue de ARC Informatique podría permitir a un atacante acceder a la base de datos del servicio web OAuth.
Solución
- PcVue 12: instalar la versión de mantenimiento 12.0.27:
- después de instalar la corrección, los usuarios deben actualizar Web Deployment Console (WDC) y volver a desplegar el servidor web;
- todos los usuarios que utilicen el componente afectado deben instalar una versión parcheada del WDC y volver a desplegar el servidor web, lo que permitirá que el WDC actualice y proteja la cadena de conexión a la base de datos, incluyendo la limpieza de cualquier información sensible almacenada en el archivo web.config.
- PcVue 15: se está desarrollando una corrección.
Detalle
El dispositivo afectado almacena información sensible en texto claro, lo que podría permitir que un usuario autenticado accediese a los datos de sesión pertenecientes a usuarios legítimos que están almacenados en la base de datos OAuth. Se ha asignado el identificador CVE-2022-2569 para esta vulnerabilidad.
Listado de referencias