Múltiples vulnerabilidades en PremiSys de IDenticard
Fecha de publicación 01/02/2019
Importancia
5 - Crítica
Recursos Afectados
- PremiSys todas las versiones anteriores a 4.1
[Actualización 06/03/2018]:
- PremiSys todas las versiones anteriores a 4.2 (El CVE-2019-3906 esta resuelto a partir de la versión 4.1)
Descripción
El investigador Jimi Sebree, trabajando con Tenable, ha reportado varias vulnerabilidades del tipo administración inadecuada de credenciales, encriptación poco robusta y contraseña inadecuada, que podrían permitir a un potencial atacante ver información confidencial u obtener acceso a los dispositivos y al sistema como administrador.
Solución
- IDenticard ha publicado la versión 4.1 de su software que soluciona alguna de las vulnerabilidades. En febrero de 2019 lanzarán una actualización para las otras vulnerabilidades. Además, IDenticard sugiere cambiar usuario y contraseña predeterminado de la base de datos de servicio.
[Actualización 06/03/2018]:
- IDenticard recomienda a los usuarios actualizar a la versión 4.2, a causa de la vulnerabilidad con CVE-2019-3908 se recomienda establecer una nueva contraseña.
Detalle
- Un atacante podría conseguir las credenciales de administrador. Se ha asignado el CVE-2019-3906 a esta vulnerabilidad.
- El sistema almacena las credenciales y otra información de interés con una encriptación débil, lo cual podría permitir a un atacante tener acceso a la información. Se ha asignado el CVE-2019-3907 a esta vulnerabilidad.
- El sistema almacena las copias de seguridad como archivos zip cifrados mediante una contraseña idéntica y que no se puede cambiar. Esto podría permitir a un atacante acceso a la información si consigue la contraseña. Se ha asignado el CVE-2019-3908 a esta vulnerabilidad.
Listado de referencias
Etiquetas