Autenticación incorrecta en Velneo vClient

Fecha de publicación 23/11/2022
Importancia
4 - Alta
Recursos Afectados

Velneo vClient, versión 28.1.3.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad en Velneo vClient, que ha sido descubierta por Jesús Ródenas Huerta, ‘Marmeus’.

A esta vulnerabilidad se le ha asignado el código CVE-2021-45036. Se ha calculado una puntuación base CVSS v3.1 de 8,7, siendo el cálculo del CVSS el siguiente: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N.

Solución

Esta vulnerabilidad ha sido corregida por el equipo de Velneo en la versión 32, publicada el 08/11/2022.

Detalle

Velneo vClient, en su versión 28.1.3, podría permitir a un atacante que conozca el nombre de usuario y la contraseña cifrada de la víctima, falsificar la identificación de la víctima contra el servidor (spoofing).

CWE-290: omisión de autenticación por spoofing.

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de 'Asignación y publicación de CVE'.

Encuesta valoración

Listado de referencias
Version correctora
Notas de la versión
Histórico de cambios
Notas de la versión: VATPS
Funcionamiento protocolo VATPS
Conexión con Velneo vServer
Etiquetas