Vulnerabilidad en un HTTP API Method en American Dynamics victor Web Client y Software House C•CURE Web Client (CVE-2020-9049)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
19/11/2020
Última modificación:
04/12/2020
Descripción
Una vulnerabilidad en versiones específicas de American Dynamics victor Web Client y Software House C•CURE Web Client, podría permitir a un atacante no autenticado en la red crear y firmar su propio JSON Web Token y usarlo para ejecutar un HTTP API Method sin la necesidad de una autorización de autenticación. En determinadas circunstancias, un atacante podría usar esto para afectar la disponibilidad del sistema al conducir un ataque de Denegación de Servicio
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.70
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:johnsoncontrols:c-cure_web:*:*:*:*:*:*:*:* | 2.90 (incluyendo) | |
cpe:2.3:a:johnsoncontrols:victor_web:*:*:*:*:*:*:*:* | 5.6 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página