Vulnerabilidad en Change My Password en Sun Java System Identity Manager (CVE-2009-1077)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-264 Permisos, privilegios y/o control de acceso

Fecha de publicación:

25/03/2009

Última modificación:

09/04/2025

Descripción

La implementación de Change My Password en el intefase de administración en Sun Java System Identity Manager (IdM) v7.0 hasta v8.0 no refuerza el valor de la propiedad RequiresChallenge, lo que permite a usuarios remotos autenticados cambiar la contraseña a otros usuarios, como se demostró cambiando la contraseña al administrador.

Impacto

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

6.50

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:sun:java_system_identity_manager:7.0:::::::*
cpe:2.3:a:sun:java_system_identity_manager:7.1:::::::*
cpe:2.3:a:sun:java_system_identity_manager:7.1.1:::::::*
cpe:2.3:a:sun:java_system_identity_manager:8.0:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:sun:java_system_identity_manager:7.0:::::::*
cpe:2.3:a:sun:java_system_identity_manager:7.1:::::::*
cpe:2.3:a:sun:java_system_identity_manager:7.1.1:::::::*
cpe:2.3:a:sun:java_system_identity_manager:8.0:::::::*

Vulnerabilidad en Change My Password en Sun Java System Identity Manager (CVE-2009-1077)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información