Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en claves de la API en el control del servicio QNAP Kayako en Helpdesk (CVE-2020-2500)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
01/07/2020
Última modificación:
10/07/2020

Descripción

Esta vulnerabilidad de control de acceso inadecuado en Helpdesk permite a atacantes obtener el control del servicio QNAP Kayako. Los atacantes pueden acceder a los datos confidenciales en el servidor QNAP Kayako con claves de la API. Hemos reemplazado la clave de la API para mitigar la vulnerabilidad y ya resolver el problema en Helpdesk versión 3.0.1 y versiones posteriores

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:qnap:helpdesk:*:*:*:*:*:*:*:* 3.0.1 (excluyendo)


Referencias a soluciones, herramientas e información