botón arriba

Autenticación incorrecta en Velneo vClient

Fecha de publicación
23/11/2022
Importancia
4 - Alta
Recursos Afectados

Velneo vClient, versión 28.1.3.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad en Velneo vClient, que ha sido descubierta por Jesús Ródenas Huerta, ‘Marmeus’.

A esta vulnerabilidad se le ha asignado el código CVE-2021-45036. Se ha calculado una puntuación base CVSS v3.1 de 8,7, siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N.

Solución

Esta vulnerabilidad ha sido corregida por el equipo de Velneo en la versión 32, publicada el 08/11/2022.

Detalle

Velneo vClient, en su versión 28.1.3, podría permitir a un atacante que conozca el nombre de usuario y la contraseña cifrada de la víctima, falsificar la identificación de la víctima contra el servidor (spoofing).

CWE-836: uso del hash de la contraseña en lugar de la contraseña para la autenticación.

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de 'Asignación y publicación de CVE'.

Encuesta valoración