Vulnerabilidad en una interfaz de usuario basada en web con un sistema de acceso basado en roles en Endress + Hauser Ecograph T (Neutral/Private Label) (RSG35, ORSG35) (CVE-2020-12495)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
19/11/2020
Última modificación:
08/12/2020
Descripción
Endress + Hauser Ecograph T (Neutral/Private Label) (RSG35, ORSG35) con versión de firmware anterior a la V2.0.0, es propenso a una gestión de privilegios inapropiada. El dispositivo afectado presenta una interfaz de usuario basada en web con un sistema de acceso basado en roles. Los usuarios con diferentes roles tienen diferentes privilegios de escritura y lectura. El sistema de acceso se basa en "tokens" dinámicos. La vulnerabilidad es que las sesiones de usuario no se cierran correctamente y a un usuario con menos derechos se le asignan los derechos más altos cuando inicia sesión
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:endress:rsg35_firmware:*:*:*:*:*:*:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:h:endress:rsg35:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:endress:rsg45_firmware:*:*:*:*:*:*:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:h:endress:rsg45:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:endress:orsg35_firmware:*:*:*:*:*:*:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:h:endress:orsg35:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:endress:orsg45_firmware:*:*:*:*:*:*:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:h:endress:orsg45:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página